En 2014, el Grupo de trabajo de Internet de Nueva Zelanda publicó un conjunto de pautas para la divulgación de vulnerabilidad: enlace
Parte de las recomendaciones para los propietarios de sitios es la publicación de una política de divulgación, en un área pública, para establecer la posición de la compañía en términos de reacción a los investigadores de seguridad. Redacté una Política de divulgación de vulnerabilidad basada en la política de los Servicios de registro de Nueva Zelanda aquí: enlace
Mi empleador está en el comercio minorista, y el director administrativo no quiere publicar esto en el sitio web, por temor a asustar a los clientes fuera de nuestro sitio web. Como solución parcial, acordamos insertar referencias al documento como comentarios en el código fuente de nuestro sitio web, así como en los encabezados HTTP de nuestro servidor web.
¿Son estos suficientes? ¿Hay algún otro lugar en el que debamos publicar que no sea visible para nuestro visitante promedio, pero SERÁ visible para aquellos que deberían ver esta política?