000Компания Bugcrowd опубликовала в открытом доступе заготовку стандартных правил для компаний, которые хотят установить нормативы по разглашению найденных уязвимостей.

Bugcrowd — посредник между независимыми пентестерами и компаниями. Часто возникает ситуация, когда независимый исследователь обнаруживает баг в каком-то программном обеспечении. Он сообщает об этом в компанию и надеется, что та как можно быстрее устранит уязвимость и сообщит об этом широкой публике, с указанием имени исследователя. Но реальность такова, что в компаниях сильна бюрократия, они могут исправлять ошибку очень долго, а потом никому не расскажут. Более того, некоторые пытаются надавить на исследователей, которые нашли баг.

Новые правила Open Source Responsible Disclosure Framework соответствуют ожиданиям независимых исследователей и должны удовлетворять требованиям компаний в процессе разглашения информации. Предполагается, что принявшая их фирма добавит этот текст в стандартный Договор о предоставлении услуг для конкретного приложения/программы, с указанием времени оглашения уязвимости (по умолчанию, 90 дней), почтового адреса для сообщений о багах, PGP-ключа, обещания не преследовать исследователей в судебном порядке.

Те компании, которые сделают это, следует считать адекватными, с ними стоит работать в первую очередь.

Open Source Responsible Disclosure Framework также предлагает пошаговую инструкцию, как внедрить правила в своей организации.

Документ составлен при помощи адвоката в сфере информационной безопасности Джима Динаро (Jim Denaro) из фирмы CipherLaw. Текст опубликован под свободной лицензией Creative Commons.

«Уязвимости в безопасности угрожают многим критическим системам, таким как медицинские устройства, автомобили и хранилища персональной информации, — говорит Джим Динаро. — Нужно убедиться, что независимые исследователи, которые имеют способности для нахождения таких уязвимостей, защищены от юридических рисков. Данный фреймворк стимулирует их продолжать столь важную работу».



2 комментария

  1. 28.07.2014 at 10:01

    некоторые пытаются надавить на исследователей, которые нашли баг

    За что им надо попросту бы показать фак.

Оставить мнение