Компания Bugcrowd опубликовала в открытом доступе заготовку стандартных правил для компаний, которые хотят установить нормативы по разглашению найденных уязвимостей.
Bugcrowd — посредник между независимыми пентестерами и компаниями. Часто возникает ситуация, когда независимый исследователь обнаруживает баг в каком-то программном обеспечении. Он сообщает об этом в компанию и надеется, что та как можно быстрее устранит уязвимость и сообщит об этом широкой публике, с указанием имени исследователя. Но реальность такова, что в компаниях сильна бюрократия, они могут исправлять ошибку очень долго, а потом никому не расскажут. Более того, некоторые пытаются надавить на исследователей, которые нашли баг.
Новые правила Open Source Responsible Disclosure Framework соответствуют ожиданиям независимых исследователей и должны удовлетворять требованиям компаний в процессе разглашения информации. Предполагается, что принявшая их фирма добавит этот текст в стандартный Договор о предоставлении услуг для конкретного приложения/программы, с указанием времени оглашения уязвимости (по умолчанию, 90 дней), почтового адреса для сообщений о багах, PGP-ключа, обещания не преследовать исследователей в судебном порядке.
Те компании, которые сделают это, следует считать адекватными, с ними стоит работать в первую очередь.
Open Source Responsible Disclosure Framework также предлагает пошаговую инструкцию, как внедрить правила в своей организации.
Документ составлен при помощи адвоката в сфере информационной безопасности Джима Динаро (Jim Denaro) из фирмы CipherLaw. Текст опубликован под свободной лицензией Creative Commons.
«Уязвимости в безопасности угрожают многим критическим системам, таким как медицинские устройства, автомобили и хранилища персональной информации, — говорит Джим Динаро. — Нужно убедиться, что независимые исследователи, которые имеют способности для нахождения таких уязвимостей, защищены от юридических рисков. Данный фреймворк стимулирует их продолжать столь важную работу».