Trabajo en un proyecto de código abierto. ¿Existe un "estándar" para informar las vulnerabilidades de seguridad que podemos usar?

Principalmente, se siguen tres filosofías en la industria con respecto a las vulnerabilidades de seguridad:

1. Divulgación completa
2. Sin divulgación
3. Divulgación Responsable

En la divulgación completa, el investigador de seguridad que descubre vulnerabilidades anuncia abiertamente los detalles de la vulnerabilidad y, en la mayoría de los casos, también se proporciona una PoC del exploit con la información de divulgación. Esta idea prevaleció en los años 90 cuando los investigadores de seguridad solían anunciar vulnerabilidades de seguridad casi a diario en Windows, Linux y otros programas en sitios web como Divulgación completa y Bugtraq lista de correo.

La segunda filosofía es la de no divulgación. Por ejemplo, en el caso de un parche el martes, Microsoft publica una gran cantidad de correcciones para las vulnerabilidades de las que usted no sabe nada más que una breve descripción. Esta filosofía suele ser seguida por investigadores de seguridad privada que trabajan en colaboración con el proveedor de software. También es seguido por el equipo interno de seguridad / control de calidad del proveedor.

La tercera y más extendida filosofía seguida hoy en día es la política de divulgación responsable. Aquí, el investigador de seguridad que descubre la vulnerabilidad otorga tiempo suficiente (un mes es el mínimo en la mayoría de los casos) para corregir la vulnerabilidad. Después de ese tiempo, el investigador de seguridad divulgará al público la vulnerabilidad y los detalles de explotación, incluso si el proveedor no resuelve el problema de seguridad. Esto se denomina divulgación responsable, ya que el proveedor tiene tiempo suficiente para proporcionar un parche de la vulnerabilidad y no exponer las máquinas críticas para ser explotadas libremente.

Puede seguir la tercera opción, ya que es la que siguen la mayoría de los investigadores de seguridad de hoy en día y brinda protección tanto al proveedor del software como al investigador de seguridad y al usuario del software para garantizar que el proveedor proporcionará un parche para la vulnerabilidad debido a la presión de la fecha inminente de la divulgación completa.

Hay un Marco de divulgación responsable de código abierto que puede utilizar:

  

Este Framework es mantenido por Bugcrowd y CipherLaw. Esta diseñado   para preparar de forma rápida y sin problemas su organización para trabajar con el   comunidad de investigadores de seguridad independientes al tiempo que reduce la legal   Riesgos para investigadores y empresas. La propia política ha sido escrita.   teniendo en cuenta tanto la simplicidad como la integridad jurídica.

     

• Configuración de un programa de divulgación responsable: una guía de las mejores prácticas paso a paso sobre cómo configurar su programa.
  
• Política de divulgación responsable: una política de divulgación repetitiva.
  

Encontré que hay dos estándares ISO en desarrollo que deben estar terminados para fines de año que se relacionen con el manejo de vulnerabilidades:

• ISO 30111 "cubre todos los procesos de manejo de vulnerabilidades, ya sea que estén identificados internamente o sean reportados por una fuente externa"
• ISO 29147 "cubre divulgaciones de vulnerabilidad de fuentes externas como usuarios finales, investigadores de seguridad y hackers"

No he podido encontrar ningún borrador de esos estándares en línea, pero estoy emocionado de verlos cuando hayan terminado.

Hay algunos consejos sobre la divulgación de vulnerabilidades de seguridad para proyectos de código abierto en Open Source Software Wiki alojado por OpenWall, pero en este momento es bastante simple, y ciertamente nada como una plantilla estándar.

Ciertamente, puede encontrar muchos ejemplos de cómo las vulnerabilidades se revelan al público, ya sea por los buscadores de errores o los proyectos, en el lista de correo oss-security .