¿Qué califica a una vulnerabilidad que se publicará?

3

Considere un proyecto de código abierto que está en continuo desarrollo. Durante el desarrollo, en su trabajo diario, ocasionalmente encuentra algunos problemas por su cuenta. También hay usuarios de su biblioteca que reportan problemas.

Si se publica un aviso de seguridad: ¿qué defectos se incluirán en el aviso? ¿Solo los reportados desde el exterior? ¿O también los que descubres por tu cuenta?

¿Hay referencias / guías para este tema?

Editar: No estoy preguntando cómo hacer una divulgación responsable cuando encontré un problema en otra biblioteca. El núcleo de la pregunta es si también se publicarán los problemas en un aviso que no se informó desde el exterior, pero que se encontró durante su trabajo diario en su software.

    
pregunta eckes 26.06.2018 - 20:37
fuente

2 respuestas

1

Si existe una vulnerabilidad en su producto, sus usuarios deben saberlo para poder protegerse. Quién descubrió que la vulnerabilidad es irrelevante para sus usuarios, por lo que no debería afectar la forma en que se comunica con ellos.

Si publica avisos de seguridad, hágalo sin importar quién descubrió la vulnerabilidad.

    
respondido por el Anders 27.06.2018 - 15:33
fuente
0

Los avisos de seguridad normalmente están escritos por elementos externos para informar a los desarrolladores sobre los problemas. Luego, la información se publica después de un tiempo para corregir la reputación de las personas que encuentran las vulnerabilidades.

Usted, como desarrollador, debe informar a las personas que usan su software sobre los problemas y cómo resolverlos. Puedes decidir cuánta información quieres publicar.

Existen normas para la divulgación responsable:

respondido por el trietend 27.06.2018 - 00:51
fuente

Lea otras preguntas en las etiquetas