Yönetişim ve Risk Yönetimi , Yeni Nesil Teknolojiler ve Güvenli Geliştirme , Tehdit İstihbaratı
Risk Bazlı Güvenlikten Alınan Bilgi Özetleri ‘Ticari Sır’ Tanımına Uymuyor
Micheal Novinson (Michael Novinson) •
23 Haziran 2023
Bir federal temyiz mahkemesi, Synopsys’in kendi açık kaynak kodu güvenlik açıkları veritabanını oluşturarak Risk Tabanlı Güvenlik’ten herhangi bir ticari sır çalmadığını doğruladı.
Ayrıca bakınız: OnDemand I Bir Güvenlik Komuta Merkezi Veri Baskınını Nasıl Basitleştirir?
ABD 4. Daire Temyiz Mahkemesi, Silikon Vadisi merkezli Synopsys’in aldığı iddia edilen bilgilerin, Richmond, Virginia merkezli Risk Based Security’nin bunu kanıtlayamaması nedeniyle ticari sır tanımına uymadığını söyledi “[d]bağımsız ekonomik değer elde eder”. ABD Virginia Doğu Bölgesi Bölge Mahkemesi Synopsys’in lehine karar verdi ve bu da Riske Dayalı Güvenlik’in temyize gitmesine neden oldu.
ABD Devre Hakimi G. Steven Agee, “RBS, iddia edilen 75 ticari sırrın bağımsız ekonomik değere sahip olduğunu gösteren kabul edilebilir kanıtlar ileri sürmedi” diye yazdı. “‘Ticari sır’ın kanuni tanımının bu kısmını yerine getirmek için yeterli kanıtın olmaması, RBS’nin ticari sırların kötüye kullanılması iddiasında galip gelememesi ve bölge mahkemesinin uygun şekilde Synopsys’e özet karar vermesine neden oldu.”
Risk Tabanlı Güvenlik, Ocak 2022’de Washington, DC merkezli Flashpoint tarafından satın alındı. Flashpoint, Information Security Media Group’un yorum talebini reddetti. Orijinal ticari sır hırsızlığı iddiaları, Synopsys tarafından 2017’de 547 milyon dolara satın alınan Black Duck Security ile ilgiliydi. Synopsys, Uygulama Güvenliği Testi için Gartner MQ’daki Liderliğini Genişletiyor).
Buraya Nasıl Geldik?
Risk Tabanlı Güvenlik, 2011 yılında halka açık güvenlik açığı veritabanı VulnDB’yi satın aldı ve VulnDB’de bulunan verileri özel bir veritabanı oluşturmak için kullandıktan sonra 2014 yılında Black Duck Software ile bir lisans sözleşmesi imzaladı. Black Duck daha sonra açık kaynak kodu güvenlik açıkları hakkındaki bilgileri yönetmek ve depolamak için kendi veritabanlarını oluşturdu ve bu da RBS’nin Black Duck’ın lisansını iptal etmesine ve dava açmasına neden oldu.
Ardından Mart 2021’de Synopsys, şirketin açık kaynaklı güvenlik yazılımlarındaki güvenlik açıklarına benzersiz tanımlayıcı numaralar atamasına ve buldukları hakkında bilgi yayınlamasına olanak tanıyan bir CVE numaralandırma yetkilisi haline geldi. Bu, bir CVE numaralandırma yetkilisi olduğu iddia edilen Black Duck’ın yasa dışı bir şekilde elde ettiği VulnDB verilerini içerdiğinden, Risk Tabanlı Güvenliğin Synopsys’e bir durdurma ve vazgeçme mektubu göndermesine neden oldu.
“RBS, iddia edilen 75 ticari sırrın bağımsız ekonomik değere sahip olduğunu gösteren kabul edilebilir kanıtlar ileri sürmedi.”
– ABD Çevre Yargıcı G. Steven Agee, ABD 4. Daire Temyiz Mahkemesi
Bir ay sonra Synopsys, ABD Virginia Doğu Bölgesi Bölge Mahkemesinden Risk Bazlı Güvenlik’in ticari sırlarını çalmadığına karar vermesini istedi. Keşif sırasında, Risk Tabanlı Güvenlik, Synopsys’in bir CVE numaralandırma yetkilisi olarak çalışmasının “bağımsız araştırmasının ürünü olacağını ve bırakın VulnDB’yi, herhangi bir güvenlik açığı veritabanına dayanmayacağını” iddia etmesi üzerine davayı reddetmek için harekete geçti.
Ancak Synopsys, federal davanın devam etmesini istedi. Riske Dayalı Güvenlik’in 2018’de Massachusetts eyalet mahkemesinde yaptığı orijinal şikayet hâlâ çözüme kavuşturulmadı. Synopsys’i çalmakla suçlanan 75 ticari sır Risk Bazlı Güvenlik, belirli dosya konumlarında ve derlemelerde belirli süreler boyunca toplanan güvenlik açığı verilerini ve belirlenen güvenlik açıklarını analiz etme ve belgeleme yöntemlerini içerir.
Mahkemelerin Buldukları
Bölge mahkemesinde Risk Bazlı Güvenlik, Flashpoint’in 2022’de şirket için ne kadar ödediğini not ederek ve şirketin gelirinin en az %90’ının aşağıdakilerden geldiğine işaret ederek, iddia edilen ticari sırların 75’inin hepsinin gizliliklerinden bağımsız ekonomik değer elde ettiğini kanıtlamaya çalıştı. VulnDB’yi lisanslamak. Ancak sunulan kanıtlar, ticari sırların değerli olduğunu veya değerin gizlilikten kaynaklandığını kanıtlamadı.
Agee, Haziran ayında yayınlanan 31 sayfalık bir görüşte, “Ne RBS’nin kendisi ne de özel veritabanı VulnDB, iddia edilen 75 ticari sırdan biri değildir, bu nedenle RBS’nin veya VulnDB’nin değeri hakkındaki kanıtlar, iddia edilen 75 ticari sırrın değeri hakkındaki kanıtların yerine geçemez.” 15. “[That] iddia edilen ticari sırların kendilerinin bağımsız ekonomik değere sahip olduğunu kanıtlama yükümlülüğünü ortadan kaldırır.”
Şirketin Synopsys’i dava etmeme taahhüdü o şirketin bir CVE numaralandırma yetkilisi olarak çalışmasıyla sınırlı olduğundan, Risk Esaslı Güvenlik’in davayı reddetme çabaları da başarısız oldu. Bölge mahkemesi, Risk Based Security’nin sözünün, şirketin iş ilişkileri de dahil olmak üzere “Synopsys’in diğer ticari davranışlarını yeterince korumadığına” karar verdi.
Synopsys, mahkemelerin yalnızca bir CVE numaralandırma yetkilisi olarak değil, herhangi bir sıfatla federal veya Virginia yasalarını ihlal etmediğini belirlemesini istedi ve “RBS’nin sözde ticari sırlarından hiçbirini kopyalamadığına veya kötüye kullanmadığına” dair bir beyan istedi. Risk Bazlı Güvenlik’in 2021 durdurma ve vazgeçme mektubu, daha geniş anlamda Synopsys’in Synopsys’in fikri mülkiyetini kullanmayı, dağıtmayı veya değiştirmeyi durdurmasını talep ediyor.
Agee, “RBS’nin davanın ortasında verdiği belgeler, Kısmi, koşullu ve geri alınabilir oldukları için Zaten’nin standartlarını karşılamıyor” diye yazdı. Halihazırda önceki bir davaya atıfta bulunulmaktadır – Zaten LLC – Nike, Inc. -vazgeçme mektubu.”