Hago desarrollo web para ganarme la vida pero mi verdadera pasión es la seguridad. He trabajado con innumerables aplicaciones / marcos web de código abierto y he encontrado vulnerabilidades en la mayoría de ellos. La causa principal de esas vulnerabilidades es la falta de educación sobre seguridad de parte de los desarrolladores. He estado pensando en lo que se podría hacer acerca de esos problemas. Mi idea sería iniciar una comunidad de pruebas de penetración de "aplicación web de código abierto". La comunidad estaría compuesta por profesionales / entusiastas de la seguridad con ideas afines.
La comunidad:
- seleccione una versión específica de una aplicación web de código abierto y dedíquele un período de tiempo de 1 a 4 semanas (según el tamaño de la aplicación).
- prueba la aplicación para problemas de seguridad. Pruebas de penetración + revisión de código fuente. (tal vez siguiendo las diversas guías de OWASP)
- emitir una lista de vulnerabilidades a la organización de código abierto
- ayudar a escribir / revisar los parches
- proporcionar recomendaciones de diseño y materiales educativos a la organización de código abierto
- compile todos los materiales creados y publíquelos con fines educativos
Los miembros de la comunidad pueden enviar sus vulnerabilidades dentro del plazo establecido. Los envíos de vulnerabilidades solo son visibles para los miembros de confianza / participantes y permanecen ocultos hasta X (?) Semanas antes de la publicación. Sé que algunas personas tienen sentimientos encontrados sobre la divulgación de vulnerabilidades, pero creo que los beneficios superan con creces las desventajas (y no quiero iniciar un debate sobre eso aquí).
Ahora las preguntas:
- ¿Cuántas semanas deben permanecer ocultas las vulnerabilidades?
- ¿Debemos pedir permiso a la organización de código abierto? (¿Existe alguna ley / licencia contra el pentesting de código abierto?)
- ¿Deberíamos invitar a un miembro de la organización de código abierto para que supervise el proceso desde adentro? (ver los envíos de vulnerabilidades / participar en la discusión)
- ¿Crees que dicha comunidad sería relevante para el código abierto?