Nel 2014, la Nuova Zelanda Internet Task Force ha pubblicato una serie di linee guida per la divulgazione delle vulnerabilità: link
Parte delle raccomandazioni per i proprietari di siti è la pubblicazione di una politica di divulgazione, in un'area pubblica, per indicare la posizione dell'azienda in termini di reazione ai ricercatori di sicurezza. Ho elaborato un criterio di divulgazione delle vulnerabilità in base alla politica dei servizi di registro della Nuova Zelanda qui: link
Il mio datore di lavoro è nel commercio al dettaglio e l'amministratore delegato non vuole pubblicarlo sul sito web, per timore di spaventare i clienti dal nostro sito web. Come soluzione parziale, abbiamo accettato di inserire riferimenti al documento come commenti nel codice sorgente del nostro sito web, nonché nelle intestazioni HTTP sul nostro server web.
Sono abbastanza? Ci sono altri luoghi che dovremmo pubblicare che non saranno visibili al nostro visitatore medio, ma SARANNO visibili a coloro che dovrebbero vedere questa politica?