Quindi è una domanda abbastanza semplice. Quando offri ai ricercatori di sicurezza una via per comunicare con noi in merito alla divulgazione delle vulnerabilità della sicurezza, qual è il modo migliore per farlo?
Supponiamo di disporre di una pagina di politica di divulgazione responsabile protetta da una connessione SSL / TLS configurata correttamente:
- Offri un indirizzo email
security@
per contattare un PGP con una Web of Trust consolidata composta da sviluppatori e community open source. L'impronta digitale PGP è pubblicata sulla pagina e la chiave è disponibile su uno dei tanti server chiave. - Offri un modulo di invio HTTPS che, sotto il cofano, invia un'e-mail dal server web al sistema di posta interna dell'ufficio. Verrà utilizzato STARTTLS in modo che l'email sia crittografata in transito
- Offri entrambi, lasciando decidere al ricercatore.
Mi sembra che l'opzione 3 sia la migliore, ma ho sentito i ricercatori lamentarsi di tutte e 3 le opzioni sia per & contro.