На днях поклонники компании Valve, разработчики и представители SteamDB обратились в компанию Valve  с открытым письмом, посвященным системе безопасности продуктов компании, в котором обозначили проблемы, с которыми сталкиваются как пользователи сервисов Valve, так и партнеры компании вместе с разработчиками игр. Компания Valve на удивление быстро дала свой ответ.

Основными проблемами системы безопасности продуктов компании Valve в письме были обозначены следующие:

• отсутствие у компании системы обратной связи, посвященной вопросам безопасности. Иными словами, если вы нашли брешь в системе, вам по сути некуда обратиться — можно написать на форум или воспользоваться общей формой отправки сообщений в компанию Valve. Даже если вы послали найденную вами ошибку через форму отправки писем, вы не узнаете, была ли эта ошибка устранена и когда именно, ответа не будет.
• отсутствие у компании политики поощрения людей, которые нашли проблемы и ошибки в системе безопасности. Другие компании обозначают денежные вознаграждения, к примеру, Facebook  платит от 500 долларов за ошибку, а Google 100-20000 долларов, в то время как про компанию Valve известно, что за некоторые ошибки в TF2 тем, кто их нашел были выданы уникальные внутриигровые предметы в качестве награды.
• оперативность решения проблем. В пример приводится проблема безопасности, связанная с OpenSSL — Heartbleed, с помощью уязвимости в которой можно получить доступ к содержимому памяти сервера, включая логины, пароли и т.д. Проблема была объявлена на весь мир как раз в то время, когда компания Valve находилась на гавайских каникулах, и была устранена только через сутки, при этом не последовало предупреждение тех пользователей и партнеров, чьи данные могли быть скомпрометированы. Так, пока сотрудники Valve отдыхали, неизвестные переименовали три игры в Steam, воспользовавшись данной уязвимостью.

• отношение компании к людям, которые сообщают об ошибках. Эти люди довольно часто попадают в бан. Один из примеров — Томаш Дуда, который сначала оповещал Valve о проблемах официально через письма, но, поскольку реакции не последовало, решил показать серьезность проблемы на деле и перенаправил одну из страниц в Steam  на Harlem Shake, за что и был немедленно забанен (правда, через некоторое время бан был снят).

На данное письмо компания Valve ответила в духе «у нас все прекрасно», мы приводим его полностью.

Павел и другие, спасибо за вашу заботу о Steam и Valve. Мы очень серьезно относимся к вопросам безопасности, и ваше письмо побудило нас оценить наши текущие процедуры. В свете этого мы недавно создали страницу безопасности, где мы объясняем наш процесс получения и реакции на сообщения о проблемах безопасности (http://www.valvesoftware.com/security). Мы считаем, что наша система крепкая, но мы понимаем, что наши процессы были не до конца прозрачными для наших пользователей и это породило некоторые недоразумения. Мы надеемся, что эта страница помогает добавить ясности и понятности.

Каждая команда в Valve предъявляет немного разные требования к безопасности и преследует разные цели, когда обрабатывает сообщения о проблемах с безопасностью. Что касается Steam,  мы благодарим за сообщения о проблемах, но не предлагаем никаких формальных стимулов. Другие команды, в частности команда TF2, имеет немного другой подход и награждает пользователей за ценные сообщения. В данный момент мы не планируем ввод каких либо систем материальных вознаграждений за  найденные ошибки.

Наша политика состоит в том, чтобы не банить или давать замечания пользователям, пока их вина и причасность не будут расследованы при раскрытии вопросов безопасности. Наша цель  — сделать сообщения о проблемах как можно большее простыми и легкими, но нам необходимо защищить других пользователей в тех случаях, когда злоупотребление системой приносит им вред. В случаях, когда мы определяем кого-то, кто является источником причиненного вреда, мы принимаем меры по предотвращению нанесения ущерба в дальнейшем. Мы ожидаем, что наши партнеры и исследователи безопасности будут осторожны и ответственны и при поиске и в раскрытии проблем безопасности, и когда они выявляют проблемы, мы работаем вместе с ними и поощряем их работу.

Спасибо,

Все из Valve

Представлители SteamDB назвали это письмо шагом в правильном направлении. На страничке, посвященной политике безопасности компании Valve, мы видим, что если у нас есть проблемы безопасности учетной записи Steam, нам надо писать в поддержку Steam, а если мы нашли более глобальную проблему, то писать следует сразу в Valve (security@valvesoftware.com), они обещают поставить письмо на учет. Кроме того, на этой странице есть доска почета, где перечислены люди, внесшие серьезный вклад в систему безопасности Steam  и других приложений Valve.


Источник