Dove dovrebbe essere pubblicata una politica di divulgazione delle vulnerabilità?

4

Nel 2014, la Nuova Zelanda Internet Task Force ha pubblicato una serie di linee guida per la divulgazione delle vulnerabilità: link

Parte delle raccomandazioni per i proprietari di siti è la pubblicazione di una politica di divulgazione, in un'area pubblica, per indicare la posizione dell'azienda in termini di reazione ai ricercatori di sicurezza. Ho elaborato un criterio di divulgazione delle vulnerabilità in base alla politica dei servizi di registro della Nuova Zelanda qui: link

Il mio datore di lavoro è nel commercio al dettaglio e l'amministratore delegato non vuole pubblicarlo sul sito web, per timore di spaventare i clienti dal nostro sito web. Come soluzione parziale, abbiamo accettato di inserire riferimenti al documento come commenti nel codice sorgente del nostro sito web, nonché nelle intestazioni HTTP sul nostro server web.

Sono abbastanza? Ci sono altri luoghi che dovremmo pubblicare che non saranno visibili al nostro visitatore medio, ma SARANNO visibili a coloro che dovrebbero vedere questa politica?

    
posta Rhyven 18.05.2015 - 00:56
fonte

1 risposta

0

Nel cercare una risposta a questa domanda, ho contattato il team al laboratorio CROW (Cybersecurity Researchers of Waikato). Un rappresentante del laboratorio ha risposto con il seguente:

If someone does find a vulnerability, chances are they would be a tech savvy person who would have looked at the HTML or HTTP headers. I believe that it is enough for an average security researcher to find (looking at it from a technical view not legal view of course).

Quindi, finché non verranno rivelate ulteriori informazioni, lo accetterò come risposta; Comunque apprezzerò comunque ulteriori risposte!

    
risposta data 21.05.2015 - 00:35
fonte

Leggi altre domande sui tag