-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Odpowiedzialne zgłaszanie podatności – bezpłatny dokument ISO/IEC 29147

28 stycznia 2017, 09:48 | W biegu | komentarze 3

Zazwyczaj dokumenty ISO są płatne… a tutaj zrobiono wyjątek, od pewnego czasu dokument proponujący kompleksowe podejście do ujawniania podatności (ISO/IEC 29147) – zarówno od strony badacza bezpieczeństwa jak i właściciela podatnego produktu – jest dostępny bezpłatnie:

Vulnerability disclosure is a process through which vendors and vulnerability finders may work cooperatively in finding solutions that reduce the risks associated with a vulnerability. It encompasses actions such as reporting, coordinating, and publishing information about a vulnerability and its resolution.

Przykładowy diagram

Miejmy nadzieję, że zwiększy to liczbę sensownie przygotowanych programów bug bounty, a może nawet wpłynie na polską legislację dotyczącą działalności bug bounty? 

Tutaj w ramach przypomnienia mamy pojedyncze sensowne zapisy, np. Art 6. ust. 2. Konwencji
Rady Europy o cyberprzestępczości, mówiący o wyłączeniu odpowiedzialności karnej badaczy jeśli ich prace służą „dozwolone testowanie lub ochronę systemu informatycznego”.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. okokokok

    odnosnie ostatniego zdania, jak to sie ma do tego straszaka z niebezpiecznika?

    Odpowiedz
    • nie jestem prawnikiem, ale IMO obowiązuje właśnie ten dokument opublikowany w dzienniku ustaw (połowa 2015r.). Czyli zgodnie tym co jest w Europie – *obowiązuje* wyłączanie na pentesty.

      Odpowiedz
  2. Rrrrrrrrrrr
    Odpowiedz

Odpowiedz na Rrrrrrrrrrr