Realizzo web per vivere ma la mia vera passione è la sicurezza. Ho lavorato con innumerevoli applicazioni / framework web open source e ho riscontrato vulnerabilità nella maggior parte di essi. La causa principale di queste vulnerabilità è la mancanza di educazione alla sicurezza da parte degli sviluppatori. Stavo pensando a cosa si potrebbe fare per quei problemi. La mia idea sarebbe quella di avviare una community di test di penetrazione di "applicazioni web open source". La comunità sarebbe composta da professionisti / appassionati di sicurezza affini.
La community:
- seleziona una versione specifica di un'applicazione web open source e dedica un intervallo di tempo da 1 a 4 settimane (a seconda della dimensione dell'applicazione).
- testa l'applicazione per problemi di sicurezza. Test di penetrazione + revisione del codice sorgente. (magari seguendo le varie guide di OWASP)
- pubblica un elenco di vulnerabilità all'organizzazione open source
- aiuta a scrivere / rivedere le patch
- fornire consigli di progettazione e materiali didattici all'organizzazione open source
- compila tutti i materiali creati e pubblicali a scopo didattico
I membri della comunità possono inviare le proprie vulnerabilità entro i tempi stabiliti. Le richieste di vulnerabilità sono visibili solo ai membri fidati / partecipanti e rimangono nascoste fino a X (?) Settimane prima della pubblicazione. So che alcune persone hanno sentimenti contrastanti sulla divulgazione delle vulnerabilità, ma ritengo che i benefici superino di gran lunga gli svantaggi (e non voglio iniziare un dibattito al riguardo qui).
Ora le domande:
- Quante settimane dovrebbero rimanere nascoste le vulnerabilità?
- Dovremmo chiedere il permesso all'organizzazione open source? (C'è qualche legge / licenza contro il pentesting open source?)
- Dovremmo invitare un membro dell'organizzazione open source a supervisionare il processo dall'interno? (visualizza gli argomenti di vulnerabilità / prendi parte alla discussione)
- Pensi che tale comunità sarebbe pertinente all'open source?