Así que es una pregunta bastante simple. Al ofrecer una vía a los investigadores de seguridad para comunicarse con nosotros con respecto a la divulgación de vulnerabilidades de seguridad, ¿cuál es la mejor manera de hacerlo?
Supongamos que tenemos una página de política de divulgación responsable que está protegida por una conexión SSL / TLS correctamente configurada:
- Ofrezca una dirección de correo electrónico
security@
para ponerse en contacto con un PGP con una Web de confianza establecida que consta de desarrolladores y una comunidad de código abierto. La huella digital de PGP se publica en la página y la clave está disponible en uno de los muchos servidores clave. - Ofrezca un formulario de envío HTTPS que, debajo del capó, envíe un correo electrónico desde el servidor web al sistema de correo interno de la oficina. STARTTLS se utilizaría para que el correo electrónico esté encriptado en tránsito
- Ofrezca ambos, dejando que el investigador decida.
Me parece que la Opción 3 es la mejor, pero he escuchado que los investigadores se quejan de las 3 opciones para & en contra.