Sto conducendo uno studio sulle diverse politiche di divulgazione delle vulnerabilità nel tentativo di determinare quanto tempo impiega un determinato fornitore a pubblicare una correzione / patch, a seconda di come è stata divulgata una determinata vulnerabilità. Il problema è che ho difficoltà a identificare le vulnerabilità "completamente divulgate" (il venditore non era stato informato prima della divulgazione pubblica). Sembra che la divulgazione responsabile sia la norma al giorno d'oggi, al punto che quando un ricercatore della sicurezza non informa il venditore e rivela completamente una vulnerabilità, la gente impazzisce per questo (questo tweet e tutti gli articoli che seguono). Nota che non sono un sostenitore di nessuna delle due politiche, sto semplicemente conducendo ricerche il più obiettivamente possibile.
Qualcuno sa se è possibile recuperare tutte le vulnerabilità che sono state pubblicate in seguito a una politica di divulgazione completa? Forse qualcuno là fuori ha fatto questo lavoro apparentemente noioso ed è disposto a condividerlo :) O c'è un sito web / strumento che non so che fa proprio questo.
In caso contrario, suppongo che dovrei esaminare ogni voce di vulnerabilità (per un determinato fornitore, ovviamente), analizzare la tempistica di divulgazione (se presente), scoprire quando è stata emessa la patch e se divulgazione e patch di vulnerabilità il rilascio risulta essere lo stesso giorno - > divulgazione responsabile e se la versione della patch è in un secondo momento - > completa divulgazione (o il venditore ha superato la scadenza di 45 giorni dal CERT, ad esempio). Richiede tempo? Decisamente. Realistico? Probabilmente no. Ma i risultati sarebbero accurati secondo te?
Grazie!