Quali sono le mie responsabilità, in quanto sviluppatore, se incappo in un exploit zero day in un software di terze parti ampiamente utilizzato?
Lo sviluppatore dovrebbe solo informare la terza parte di limitare l'effetto?
Cosa succede se la terza parte non viene pulita a tutti i suoi utenti, chi altri dovrebbe essere avvisato?
Quali sono le responsabilità dei fornitori di software di terze parti di avvisare la propria base di vulnerabilità nel proprio software?
La tua domanda riguarda la legge, l'etica e l'autoconservazione. Personalmente penso in un mondo perfetto che diresti al produttore del software e dovrebbero avere due mesi per applicarlo, dopo di che dovresti inviarlo a un database di vulnerabilità. Il produttore del software dovrebbe essere ricettivo e grato e forse anche collaborare con te per correggere il problema e testare la patch.
Sfortunatamente, non viviamo in un mondo perfetto. Le società di software hanno la tendenza a vedere la divulgazione come un attacco e hanno la tendenza a citare in giudizio. Anche la divulgazione privata comporta rischi.
Quello che vorrei fare è ricercare come la società ha agito in passato. Se hanno reagito negativamente, potrei inviare le informazioni anonimamente e lasciarle a questo. Se sono più ricettivi, mi metterei in contatto con loro e presentare le informazioni come non minacciose, collaborando con loro per decidere come procedere.
Eviterei di dare a una società ostile e litigiosa i miei dettagli e non consiglierei di lasciarlo su internet.
Leggi altre domande sui tag ethics etiquette third-party-libraries