Scopri come Secunia si occupa di esso. Potrebbe aiutarti lungo:
link
Se non è noto alcun contatto di sicurezza per il fornitore, è possibile che prima venga inviata una e-mail che richiede l'indirizzo e-mail di contatto di sicurezza a determinati indirizzi e-mail pubblici associati al fornitore. È politica Secunia non inviare mai informazioni sulla vulnerabilità tramite moduli online. Tuttavia, questi possono essere utilizzati per richiedere informazioni di contatto sulla sicurezza.
Quando un contatto di sicurezza o un altro indirizzo e-mail rilevante è stato identificato, un fornitore riceve inizialmente una posta con dettagli sulla vulnerabilità e una data di divulgazione preimpostata (di solito impostata su un mercoledì due settimane dopo).
Se il venditore non risponde alla posta iniziale entro una settimana, viene reinviato.
Se non è stata ricevuta alcuna risposta al giorno della data di divulgazione preimpostata, le informazioni sulla vulnerabilità vengono pubblicate immediatamente senza ulteriori tentativi di coordinamento.
Se il venditore risponde alla posta iniziale o alla posta inviata, può essere impostata una nuova data di divulgazione nel caso in cui il venditore non possa rispettare la data preimpostata.
Secunia si aspetta che i fornitori forniscano aggiornamenti di stato continui sui progressi. Se nessuno è fornito per impostazione predefinita, il fornitore verrà contattato circa una volta al mese con una richiesta di aggiornamento dello stato.
Se un venditore non risponde a una richiesta di aggiornamento dello stato, viene inviato nuovamente una settimana più tardi.
Se il venditore non risponde a due richieste di aggiornamento di stato consecutive, viene inviata una mail al venditore che avverte che le informazioni sulla vulnerabilità verranno divulgate una settimana più tardi se non viene ricevuta alcuna risposta. A questa data non è stata ricevuta alcuna risposta, le informazioni sulla vulnerabilità vengono immediatamente pubblicate senza ulteriori tentativi di coordinamento.
Alla fine, le informazioni sulla vulnerabilità saranno pubblicate da Secunia Research quando:
a) La data di divulgazione preimpostata / concordata è stata raggiunta.
b) Il fornitore emette un avviso di correzione e / o sicurezza.
c) Le informazioni sulla stessa vulnerabilità sono pubblicate da terzi.
d) Trascorso un anno o mezzo dalla data di contatto iniziale (per ulteriori informazioni, vedere 10 e 11).
Per impostazione predefinita, le vulnerabilità sono coordinate per non più di 6 mesi. Circa un mese prima del marchio di ½ anno, il venditore viene informato su una data di divulgazione fissa stabilita da Secunia Research al ½ anno. A quel tempo, viene pubblicato un advisory Secunia indipendentemente dalla disponibilità delle patch.
In alcuni casi, una vulnerabilità può essere coordinata per un anno intero se il venditore sta comunicando una chiara intenzione di affrontare la vulnerabilità e può impegnarsi in una data entro tale periodo e la vulnerabilità è considerata complessa da affrontare.