security disclosure

security - ¿Cuánto tiempo debo esperar para publicitar una vulnerabilidad en un proyecto de código abierto o gratuito?



disclosure (3)

No puedo discutir con las recomendaciones de SANS, a pesar del tamaño del desarrollador. No importa el tamaño de un equipo, 30 días es tiempo suficiente para abordar la mayoría de los problemas. Ya que están en silencio, existe la posibilidad de que no seas el primero en encontrar el problema.

En mi revisión del paquete gratuito distribuido bajo la licencia de Apache, encontré una serie de errores que iban desde problemas de código poco conocidos hasta agujeros de seguridad.

He tomado los siguientes pasos:

  • Notifiqué al líder del proyecto a través de correo electrónico privado acerca de esto hace dos semanas y, aparte del reconocimiento de dichos correos electrónicos, no he visto ninguna actividad interna o externa relacionada con los problemas que planteé.
  • He seguido las políticas establecidas por SANS y Wiretrip .

Preguntas

  • ¿Debo seguir con otro correo electrónico?
  • Si no hay respuesta, ¿debo seguir adelante y publicar estos temas públicamente?
  • ¿Alguien que haya pasado por esto (de cualquier lado) tiene alguna buena sugerencia sobre cómo manejar esto?

Quizás no haya una comunidad activa. Tal vez simplemente no les importa . Tal vez, oh mi, ellos pusieron las fallas de seguridad allí a propósito . Si su pregunta es, cuánto tiempo debe esperar antes de hacerlo público, entonces, parece que les ha dado todas las oportunidades razonables para responderle. Entonces, si crees que ir al público sirve al público, hazlo.

Sinceramente, usted no tiene ninguna obligación de ninguna manera si:

  1. Encontró los problemas en una instalación legítima del software (siguiendo todas las pautas de uso justo / ToS, etc.)
  2. No modificó ni comprometió la seguridad del sistema de ninguna manera conocida al configurar el sistema de manera intencional de manera tal que sea inseguro (es decir, desinstale a propósito las medidas de seguridad que tiene)
  3. Posiblemente no se puede considerar un rival por ganancias financieras en el mismo espacio de mercado.

Si este producto es puramente de código abierto y bajo una licencia gratuita, el último es obviamente verdadero, dejando solo los dos primeros por considerar (si tiene una licencia comercial, esto puede ser una cuestión diferente).

Puede documentar abiertamente cualquier problema que tenga con el software siempre que proporcione su opinión y que respalde dichos problemas con pruebas (preferiblemente verificadas por un tercero) de alguna forma (blog, lista de correo, etc.) .

Si usted es un investigador de seguridad específicamente asignado para investigar el producto, o tiene la intención de publicar sus hallazgos como parte de sus informes corporativos, su departamento legal tendrá reglas adicionales que debe seguir (consulte con ellos).

Creo que el dilema es puramente ético y me gustaría citar una parte de su publicación:

Tengo razones un tanto egoístas para decir "¡mira lo inteligente que soy! ¡Encontré estos problemas en el código!" pero están moderados por querer darles tiempo a los desarrolladores para arreglar el código y sé bien que el ego y el orgullo pueden estar involucrados en estos asuntos.

Si considera que su razonamiento ético es justo, debe seguir el sentido común que considere más razonable (creo que SANS es muy justo en este caso).