Come faccio a segnalare le vulnerabilità del software trovate in una libreria open source che sono ampiamente utilizzate ma hanno una struttura di squadra dilapidata?

5

Per la maggior parte dei progetti open source, c'è un team di progetto ben fondato e sponsorizzazioni aziendali e molti collaboratori attivi. La procedura per l'archiviazione delle segnalazioni di errori è chiaramente documentata.

Tuttavia, ci sono anche alcuni progetti open source che esistono da più di 10 anni (forse 15), e sono stati inclusi in tutti i tipi di prodotti gratuiti e commerciali (SO e distro Linux, ecc.), e tutti pensano che sia corretto, nonostante alcune parti di esso in uno stato di disperazione e pieno di bug.

Mi sembra che i veri utenti (programmatori in-the-know) scelgano semplicemente di usare la libreria in un certo modo per non far scattare il bug. Pochi scelgono di parlare.

Esistono anche grandi aziende che risolvono i bug tranquillamente (nei loro prodotti) senza distribuire patch. E usa questo per il loro vantaggio commerciale.

Non esiste uno sviluppatore leader. Non ci sono informazioni su chi sono gli sviluppatori attivi, eccetto che puoi sfogliare la mailing list e vedere chi ha recentemente inviato le patch, e supporre che potrebbero conoscere qualcuno che sia utile.

Come dovrei gestire un caso di vulnerabilità, senza divulgare informazioni in modo da fornire munizioni ai cattivi?

Questa domanda è uno spin-off di: link

    
posta rwong 18.10.2010 - 07:13
fonte

4 risposte

5

Parla con Secunia (o con qualsiasi altro database di bug) e lascia che lo gestiscano.

Lo fanno su base giornaliera e probabilmente hanno già una procedura per se non riescono a identificare un contributore appropriato per un progetto.

(direi, se non ci sono contatti per la libreria stessa, contatteranno i principali progetti che attualmente utilizzano la libreria, consentendo a qualsiasi software diffuso di correggere / risolvere qualsiasi problema di sicurezza, prima di rilasciare i dettagli al pubblico.)

    
risposta data 18.10.2010 - 13:00
fonte
1

Ai coordinatori.

Se non ci sono informazioni chiare, ti suggerisco di scegliere un contributore casuale e chiedergli chi è il responsabile.

Scegli un altro contributore finché non hai una risposta chiara.

In ogni caso, invia i dettagli del problema a ogni persona che contatti.

    
risposta data 18.10.2010 - 10:07
fonte
1

Se il progetto è open source, allora non vedo problemi a pubblicare i risultati direttamente nella mailing list. Soprattutto se hai già una patch (ma anche se non l'hai fatto). Se è riuscito a dirlo a qualcuno "in privato", non appena hanno commesso la correzione al repository (che presumo sia pubblico) tutti lo saprebbero comunque.

    
risposta data 18.10.2010 - 13:15
fonte
0

Segnala il bug e se nessuno ti interessa allora clona il repository su github e correggi l'errore lì, e punta a quel repository nel bug report originale così gli altri possono ottenere una versione fissa.

Ricorda di unire regolarmente il clone per raccogliere altre correzioni.

    
risposta data 18.10.2010 - 13:17
fonte

Leggi altre domande sui tag