Вопросы Теги

Сколько времени я должен ожидать для разглашения уязвимости в свободном/с открытым исходным кодом проекте? [закрытый]

16
задан 11 revs, 4 users 48% 10 January 2016 в 16:43
поделиться

3 ответа

По правде говоря, у вас нет никаких обязательств в любом случае, если:

  1. Вы нашли проблемы в соответствии с законной установкой программного обеспечения (после всех руководств TOS / Fair Usage и т. Д.)
  2. Вы не изменяли или компромиссят безопасность Система каким-либо известным способом, целенаправленно устанавливая систему в таком случае, чтобы быть неуверенным (то есть целенаправленно удаление мер безопасности, которые она имеет)
  3. , вы не можете предположить, что он не может считаться соперником для финансовой выгоды в том же рыночном пространстве.

Если этот продукт является чисто открытым исходным кодом, а по свободной лицензии, последнее, очевидно, верно, оставляя только первые два, которые будут рассмотрены (если он имеет коммерческое лицензирование, это может быть другой вопрос).

Вы можете открыто документировать любые проблемы, которые у вас есть с программным обеспечением, если вы предоставляете, что это ваше мнение, и что вы обратно сказали, что проблемы с доказательством (желательно проверены сторонней) в какой-то форме (блог, список рассылок , так далее).

Если вы являетесь исследователем безопасности, специально назначаемым исследованиям продукта, или намереваясь публиковать свои выводы в рамках вашей корпоративной отчетности, ваш юридический отдел будет иметь дополнительные правила, которые вам нужно следовать (проконсультироваться с ними).

Я считаю, что Дилма является чисто этичностью, и я хотел бы процитировать одну часть вашего поста:

У меня несколько эгоистичные причины для говоря: «Посмотри, как я умный! Я нашел эти проблемы в коде! »Но они закалены, желая дать Разработчики время, чтобы исправить код и я хорошо знать, что эго и гордость могут быть участвует в этих вопросах.

Если вы рассматриваете свои этические рассуждения, чтобы быть справедливым, то вы должны следовать во всем здравом смысле, который вы считаете наиболее разумными (я считаю, что SANS будет очень справедливым в этом случае).

5
ответ дан 30 November 2019 в 23:14
поделиться

не могут спорить с рекомендациями от SAN, несмотря на размер разработчика. Независимо от размера команды, 30 дней - это много времени для решения большинства вопросов. Поскольку они молчат, есть шанс, что вы не первым, кто нашел проблему.

2
ответ дан 30 November 2019 в 23:14
поделиться

Может быть, нет активного сообщества. Может быть, они просто не волнуют . Может быть, о мой, они ставят недостатки безопасности в тудах нарочно . Если вы сомневаться, как долго ждать перед публичным, то, безусловно, это, кажется, вы дали им каждый разумный шанс ответить на вас. Так что, если вы думаете, что публично, обслуживает публику, публикую.

3
ответ дан 30 November 2019 в 23:14
поделиться
Другие вопросы по тегам:

Похожие вопросы: