Che cosa qualifica una vulnerabilità che deve essere pubblicata?

3

Considera un progetto open source in continuo sviluppo. Durante lo sviluppo, nel tuo lavoro quotidiano occasionalmente trovi alcuni problemi da solo. Ci sono anche utenti dei problemi di segnalazione della tua biblioteca.

Se un avviso di sicurezza deve essere pubblicato: quali difetti devono essere inclusi nell'advisory? Solo quelli riportati da extern? O anche quelli che scopri da solo?

Ci sono riferimenti / guide per questo argomento?

Modifica: sono non chiedendo come fare una divulgazione responsabile quando ho trovato un problema in un'altra libreria! Il nocciolo della domanda è se anche i problemi devono essere pubblicati in un advisory che non sono stati segnalati da esterni, ma trovati durante il tuo lavoro quotidiano nel tuo software.

    
posta eckes 26.06.2018 - 20:37
fonte

2 risposte

1

Se esiste una vulnerabilità nel prodotto, gli utenti devono sapere che possono proteggersi. Chi ha scoperto che la vulnerabilità è irrilevante per gli utenti, quindi non dovrebbe influire su se e su come comunichi loro la vulnerabilità.

Quindi, se pubblichi avvisi di sicurezza, fallo indipendentemente da chi ha scoperto la vulnerabilità.

    
risposta data 27.06.2018 - 15:33
fonte
0

Normalmente gli advisor di sicurezza sono scritti da esterni per informare gli sviluppatori sui problemi. Le informazioni vengono poi pubblicate dopo un po 'di tempo per le correzioni per la reputazione delle persone che trovano le vulnerabilità.

Tu come sviluppatore dovresti informare le persone che usano il tuo software in merito ai problemi e come risolverli. Puoi decidere quante informazioni vuoi pubblicare.

Esistono standard per la divulgazione responsabile:

risposta data 27.06.2018 - 00:51
fonte

Leggi altre domande sui tag