Principalmente, se siguen tres filosofías en la industria con respecto a las vulnerabilidades de seguridad:
- Divulgación completa
- Sin divulgación
- Divulgación Responsable
En la divulgación completa, el investigador de seguridad que descubre vulnerabilidades anuncia abiertamente los detalles de la vulnerabilidad y, en la mayoría de los casos, también se proporciona una PoC del exploit con la información de divulgación. Esta idea prevaleció en los años 90 cuando los investigadores de seguridad solían anunciar vulnerabilidades de seguridad casi a diario en Windows, Linux y otros programas en sitios web como Divulgación completa y Bugtraq lista de correo.
La segunda filosofía es la de no divulgación. Por ejemplo, en el caso de un parche el martes, Microsoft publica una gran cantidad de correcciones para las vulnerabilidades de las que usted no sabe nada más que una breve descripción. Esta filosofía suele ser seguida por investigadores de seguridad privada que trabajan en colaboración con el proveedor de software. También es seguido por el equipo interno de seguridad / control de calidad del proveedor.
La tercera y más extendida filosofía seguida hoy en día es la política de divulgación responsable. Aquí, el investigador de seguridad que descubre la vulnerabilidad otorga tiempo suficiente (un mes es el mínimo en la mayoría de los casos) para corregir la vulnerabilidad. Después de ese tiempo, el investigador de seguridad divulgará al público la vulnerabilidad y los detalles de explotación, incluso si el proveedor no resuelve el problema de seguridad. Esto se denomina divulgación responsable, ya que el proveedor tiene tiempo suficiente para proporcionar un parche de la vulnerabilidad y no exponer las máquinas críticas para ser explotadas libremente.
Puede seguir la tercera opción, ya que es la que siguen la mayoría de los investigadores de seguridad de hoy en día y brinda protección tanto al proveedor del software como al investigador de seguridad y al usuario del software para garantizar que el proveedor proporcionará un parche para la vulnerabilidad debido a la presión de la fecha inminente de la divulgación completa.