Durante la partecipazione a un programma di bug bug, mi sono imbattuto in un problema che ha portato a una vulnerabilità di sicurezza quando sfruttato con altri problemi su prodotti non correlati.
Tutti questi problemi non sono di per sé vulnerabilità della sicurezza, ma diventano una combinazione quando combinati. Nessuno dei problemi è più critico degli altri.
Vorrei che venisse risolta la vulnerabilità, quindi ho intenzione di segnalarlo ai fornitori.
Seguendo le linee guida sulla divulgazione responsabile, ogni rapporto non dovrebbe contenere informazioni sui problemi degli altri fornitori, ma temo che tutti i fornitori rigetteranno il rapporto, spiegando che il loro problema è il comportamento previsto.
Ogni venditore ha un programma di sicurezza e un team di sicurezza competente. L'unico problema è comunicare l'impatto dei problemi a ciascuno di essi.
Quale sarebbe il modo migliore per gestire questo problema?