Voitteko olla vastuussa vahingoista? Tort Law -kohdassa kyllä.
Oletetaan, että joku on kehittänyt viruksen koodisi perusteella. Virus aiheutti miljoonia dollareita vahinkoa. Kantaja (ohjelmistotoimittaja) voi väittää, että:
- sinulla on hoitovelvollisuus
välttääksesi tekoja tai laiminlyönnit, joiden voit kohtuudella ennakoida, vahingoittavat todennäköisesti naapuriasi.
Donoghue v. Stevenson (1932) (Iso-Britannia)
Hoitovelvollisuuden käsite löytyy myös Yhdysvaltain laista, esimerkiksi julkaisusta MacPerson v. Buick Motor Co. (1916) , jossa todettiin, että huolimattomuus ei vaadi sopimusta .
- Velvollisuuden rikkominen: järkevä henkilö ennakoida , että "käsitteen todistaminen" voi aiheuttaa vahinkoa. Koodin vapauttaminen ei siis ole odotettua tasoa. Jos olet IT-ammattilainen, on vaikea puolustaa tätä asiaa.
-
Koodisi välillä on syy-yhteys -suhde vapauttaminen ja siitä aiheutunut vahinko.
-
Olet vastuussa laiminlyönnistä .
-
Vahinko: Se on todennäköistä, että käyttäjät haastavat ohjelmistotoimittajan oikeuteen vahingoistaan. Ohjelmistotoimittaja nostaa sinut sitten haasteen, koska sinun takia ohjelmistotoimittajan on maksettava korvaus asiakkailleen.
Tämä riippuu tietysti siitä, mitä julkaisit tarkalleen. julkisuuteen. Esimerkiksi, jos "todistuskonseptisi" muuntamiseksi todelliseksi hyödyntämiseksi tarvitaan huomattavia ponnisteluja ja olet tarjonnut kiertotavan tämän haavoittuvuuden välttämiseksi, voit puolustautua väittämällä, että syy-seuraussuhde on liian etäinen .
Joten minun on pidettävä raportti yksityisenä? Entä jos ohjelmisto on avoimen lähdekoodin?
Ei oikeastaan. Sinun on ryhdyttävä kohtuullisiin toimenpiteisiin varmistaaksesi, että "todistesi käsitteestäsi" ei ole todellinen hyödyntäminen, ja hakkeri tarvitsee paljon aikaa toimivan haittaohjelman kehittämiseen. CVE on foorumi, jossa haavoittuvuudet jaetaan julkisesti.
Entä jos olet antanut toimittajalle kohtuullisen ajan korjata haavoittuvuuden?
Ei ole väliä (sinulle), jos toimittajalle on annettu aikaa korjata haavoittuvuus. Sillä on merkitystä myyjälle, koska jos jotain tapahtuu myöhemmin, myyjä on vastuussa ongelman tuntemisesta hyvissä ajoin eikä ole jakanut asianmukaisia resursseja ongelman korjaamiseen.
Haavoittuvuuden osoittamiseksi ei ole vaativat ohjeita tämän haavoittuvuuden käytöstä. Voit esimerkiksi tallentaa videon, joka näyttää hakkeroinnin vaikutukset.
Täällä (Wayback Machine; alkuperäinen linkki on kuollut) on mielenkiintoinen luku siitä, kuinka Motorola ottaa asiat huomioon omiin käsiinsä havaittuaan haavoittuvuuden Xerox CP-V -järjestelmässä, eikä Xerox paikannut ongelmaa.