Se la società per la quale stai pubblicando una vulnerabilità è il tuo datore di lavoro, non è mai una buona idea pubblicare la vulnerabilità. Potresti essere un informatore, ma probabilmente perderesti il lavoro trascurando le tue responsabilità.
Pubblicare la divulgazione responsabile si applica principalmente alla parte esterna che non ha né un dovere nei confronti della società e il cui sostentamento non dipende dalla società. Il motivo principale per la divulgazione responsabile è perché è nell'interesse pubblico conoscere il problema, nonché per prendere credito per la scoperta che può consentire di costruire una reputazione / curriculum. Tuttavia, l'esecuzione di uno strumento di scansione delle vulnerabilità come wpscan non è realmente considerata una ricerca originale, non c'è davvero molto da guadagnare qui.
Come dipendente della compagnia, dovresti davvero combattere questo da dentro. Fai parte dell'azienda e ti trovi in una posizione molto migliore rispetto a una parte esterna per spingere alla risoluzione della vulnerabilità.
How long should I wait before publishing them?
Dovresti pubblicare il problema solo se sei pronto a lasciare la società se il problema non viene risolto. In alternativa, se ritieni che sia nell'interesse del pubblico conoscere meglio il problema, allora potresti voler seguire la strada del segnalatore e pubblicarlo comunque se pensi che perdere il tuo lavoro sia un costo abbastanza buono per il maggior bene di interesse pubblico .
Tuttavia, si noti che non tutte le vulnerabilità della sicurezza sono di pubblico interesse. Una vulnerabilità che consente semplicemente agli utenti di deturpare il sito della società, ad esempio, è imbarazzante per l'azienda, ma in realtà non offre alcun beneficio pubblico. Una vulnerabilità che ti permetta di lanciare un missile nucleare in qualsiasi parte del mondo o permettere alla NSA di fare il snooping della dragnet, d'altra parte, sarebbe sicuramente di pubblico interesse. E ci sono molti tra di loro.