Come posso segnalare vulnerabilità di sicurezza per applicazioni OSX open source?

6

Nell'eventualità di trovare una vulnerabilità di sicurezza nel mondo Linux, la procedura implicata sarebbe quella di segnalare la vulnerabilità ...

  • ... agli sviluppatori o ai manutentori del pacchetto in un particolare sistema operativo.
  • ... al team di sicurezza di quel particolare sistema operativo.

Quindi vengono eseguite le patch e vengono rilasciati CVE.

Sono curioso di sapere come funziona il reporting delle vulnerabilità open source nel mondo OSX? Gli sviluppatori rilasciano CVE se viene loro segnalato un problema di sicurezza?

    
posta gentmatt 10.02.2012 - 08:30
fonte

3 risposte

6

Puoi contattare Apple a questo indirizzo: [email protected] (oppure puoi aprire un rapporto Radar se sei uno sviluppatore) oppure contatta il manutentore del pacchetto.
Spesso gli indirizzi di posta possono essere trovati nel README (o AUTORI) del codice sorgente o sul sito web del progetto.

Sì. Sia Apple (in particolare) che gli sviluppatori open source (in generale) fanno riferimento a CVE nelle e-mail di patch e sicurezza e partecipano utilizzando tale meccanismo per il tracciamento delle vulnerabilità segnalate.

    
risposta data 10.02.2012 - 18:15
fonte
2

Le posture di sicurezza ufficiali delle mele sono Sicurezza dei prodotti Apple .

Ma direi che la soluzione migliore sarebbe inviare vulnerabilità tramite Apple Bug Reporter e il loro indirizzo email di sicurezza del prodotto. Inoltre, se la parte con la vulnerabilità è un progetto open source, è necessario notificare anche il progetto open source.

    
risposta data 10.02.2012 - 18:52
fonte
1

La procedura per segnalare le vulnerabilità della sicurezza varia, ma il luogo da segnalare sarebbe direttamente nel progetto open source. Se l'applicazione è ospitata nell'app store, puoi segnalare direttamente ad Apple.

    
risposta data 10.02.2012 - 15:43
fonte

Leggi altre domande sui tag