Odpowiedzialne zgłaszanie podatności – bezpłatny dokument ISO/IEC 29147

Zazwyczaj dokumenty ISO są płatne… a tutaj zrobiono wyjątek, od pewnego czasu dokument proponujący kompleksowe podejście do ujawniania podatności (ISO/IEC 29147) – zarówno od strony badacza bezpieczeństwa jak i właściciela podatnego produktu – jest dostępny bezpłatnie:

Vulnerability disclosure is a process through which vendors and vulnerability finders may work cooperatively in finding solutions that reduce the risks associated with a vulnerability. It encompasses actions such as reporting, coordinating, and publishing information about a vulnerability and its resolution.

Przykładowy diagram

Miejmy nadzieję, że zwiększy to liczbę sensownie przygotowanych programów bug bounty, a może nawet wpłynie na polską legislację dotyczącą działalności bug bounty? 

Tutaj w ramach przypomnienia mamy pojedyncze sensowne zapisy, np. Art 6. ust. 2. Konwencji
Rady Europy o cyberprzestępczości, mówiący o wyłączeniu odpowiedzialności karnej badaczy jeśli ich prace służą „dozwolone testowanie lub ochronę systemu informatycznego”.

–ms