Lavoro su un progetto open source. Esiste uno "standard" per segnalare vulnerabilità di sicurezza che possiamo usare?

Principalmente, tre filosofie sono seguite nel settore per quanto riguarda le vulnerabilità della sicurezza:

1. Full Disclosure
2. Nessuna divulgazione
3. Divulgazione responsabile

In piena divulgazione il ricercatore di sicurezza che scopre vulnerabilità annuncia apertamente i dettagli della vulnerabilità e nella maggior parte dei casi un PoC dell'exploit viene fornito anche con le informazioni di divulgazione. Questa idea era diffusa negli anni '90 quando i ricercatori di sicurezza annunciavano vulnerabilità di sicurezza quasi quotidianamente su Windows, Linux e altri software su siti web come Full Disclosure e lista postale di Bugtraq .

La seconda filosofia è quella di non divulgazione. Ad esempio, in caso di patch Tuesday Microsoft rilascia molte correzioni per le vulnerabilità di cui non si sa nulla a parte una breve descrizione. Questa filosofia è solitamente seguita da ricercatori della sicurezza privata che lavorano in collaborazione con il fornitore del software. È seguito anche dal team di sicurezza interna / controllo qualità del fornitore.

La terza e più diffusa filosofia seguita al giorno d'oggi è la politica di divulgazione responsabile. Qui, il ricercatore di sicurezza che scopre la vulnerabilità dà tempo sufficiente (un mese è il minimo indispensabile nella maggior parte dei casi) per correggere la vulnerabilità. Dopo quel tempo, il ricercatore della sicurezza rivela al pubblico i dettagli della vulnerabilità e dello sfruttamento anche se il venditore non aggiusta il buco della sicurezza. Questa è chiamata divulgazione responsabile dal momento che il fornitore ha tempo sufficiente per fornire una patch della vulnerabilità e non esporre liberamente le macchine critiche.

Puoi seguire la terza opzione poiché è quella seguita dalla maggior parte dei ricercatori di sicurezza al giorno d'oggi e fornire protezione sia al venditore del software che al ricercatore della sicurezza e all'utente del software per garantire che il fornitore fornisca una patch per la vulnerabilità a causa della pressione della data imminente di divulgazione completa.

C'è un Open source Responsible Disclosure Framework che puoi usare:

This Framework is maintained by Bugcrowd and CipherLaw. It is designed to quickly and smoothly prepare your organization to work with the independent security researcher community while reducing the legal risks to researchers and companies. The policy itself has been written with both simplicity and legal completeness in mind.

• Setting up a Responsible Disclosure Program - A step by step best practices guide on how to setup your program.
• Responsible Disclosure Policy - A boilerplate disclosure policy.

Ho trovato che ci sono due standard ISO in fase di sviluppo che dovrebbero essere completati entro la fine dell'anno relativi alla gestione delle vulnerabilità:

• ISO 30111 "copre tutti i processi di gestione delle vulnerabilità, siano essi identificati internamente o segnalati da una fonte esterna"
• ISO 29147 "copre le divulgazioni di vulnerabilità da fonti esterne come utenti finali, ricercatori della sicurezza e hacker"

Non sono stato in grado di trovare alcuna bozza di questi standard online, ma sono entusiasta di vederli quando sono terminati.

Ci sono alcuni suggerimenti su come divulgare vulnerabilità di sicurezza a progetti open source sul Wiki di sicurezza del software Open Source ospitato da OpenWall, ma al momento è piuttosto scarno, e certamente non è come un modello standard.

Puoi sicuramente trovare molti esempi di come le vulnerabilità vengono divulgate al pubblico, dai bug finder o dai progetti, sugli associati mailing list oss-security .