Qualcuno ha esperienza nella creazione di una procedura di divulgazione responsabile per un'azienda?
Sono interessato a prendere un incarico universitario che coinvolge questo.
Ho letto le linee guida dei miei governi sulle responsabilità sia del divulgatore che dell'organizzazione responsabile del sistema informativo, ma ho ancora alcune domande sull'attuazione effettiva. Affinché la mia università possa accettare questo incarico, ci devono essere alcune sfide tecniche da superare per poter trovare questo progetto accettabile. Fondamentalmente, se il progetto risulta troppo facile, viene rifiutato. Finora, le uniche cose che posso inventare sono:
- Utilizzo di una connessione sicura per assicurarsi che nessun utente malintenzionato possa intercettare segnalazioni di vulnerabilità.
- Crittografia dei report memorizzati in modo che non ci sia un elenco di vulnerabilità facilmente consultabile / leggibile nel sito Web per gli estranei.
- Autorizzazione per la visualizzazione dei dati
- Impostazione di una procedura automatizzata per la gestione dei report (una persona affidabile all'interno dell'organizzazione riceve il report e tenta di replicare la vulnerabilità e la inoltra alla parte responsabile per risolverlo).
Se qualcuno ha già creato un sistema di divulgazione responsabile ed è disposto a condividere: quali altre sfide ha dovuto affrontare durante la configurazione del sistema RD?