Divulgación responsable - Responsible disclosure

En seguridad informática , la divulgación responsable (también conocida como divulgación coordinada de vulnerabilidades) es un modelo de divulgación de vulnerabilidades en el que una vulnerabilidad o un problema se divulga solo después de un período de tiempo que permite que la vulnerabilidad o el problema se parcheen o remenden. Este período distingue el modelo de la divulgación completa .

Los desarrolladores de hardware y software a menudo requieren tiempo y recursos para reparar sus errores. A menudo, son los piratas informáticos éticos los que encuentran estas vulnerabilidades. Los piratas informáticos y los científicos de seguridad informática opinan que es su responsabilidad social concienciar al público sobre las vulnerabilidades de alto impacto. Ocultar estos problemas podría provocar una sensación de falsa seguridad . Para evitarlo, las partes involucradas unen fuerzas y acuerdan un plazo para reparar la vulnerabilidad y prevenir daños futuros. Dependiendo del impacto potencial de la vulnerabilidad, el tiempo esperado necesario para que se desarrolle y aplique una solución de emergencia o solución alternativa y otros factores, este período puede variar entre unos pocos días y varios meses. Es más fácil parchear el software utilizando Internet como canal de distribución.

La divulgación responsable no satisface a los investigadores de seguridad que esperan ser compensados ​​financieramente, mientras que informar las vulnerabilidades al proveedor con la expectativa de una compensación puede verse como una extorsión. Si bien se ha desarrollado un mercado de vulnerabilidades, la comercialización de vulnerabilidades sigue siendo un tema muy debatido relacionado con el concepto de divulgación de vulnerabilidades. Hoy en día, los dos actores principales en el mercado de vulnerabilidades comerciales son iDefense, que inició su programa de contribución de vulnerabilidades (VCP) en 2003, y TippingPoint , con su iniciativa de día cero (ZDI) iniciada en 2005. Estas organizaciones siguen el proceso de divulgación responsable con el material comprado. Entre marzo de 2003 y diciembre de 2007, un promedio de 7.5% de las vulnerabilidades que afectan a Microsoft y Apple fueron procesadas por VCP o ZDI. Las firmas independientes que apoyan financieramente la divulgación responsable mediante el pago de recompensas por errores incluyen Facebook , Google , Mozilla y Barracuda Networks .

Vendor-sec era una lista de distribución responsable. Muchos, si no todos, los grupos del CERT coordinan las divulgaciones responsables.

Políticas de divulgación

Google Project Zero tiene un plazo de divulgación de 90 días que comienza después de notificar a los proveedores sobre la vulnerabilidad, y los detalles se comparten en público con la comunidad defensiva después de 90 días, o antes si el proveedor publica una solución.

ZDI tiene un plazo de divulgación de 120 días que comienza después de recibir una respuesta del proveedor.

Ejemplos de

Vulnerabilidades de seguridad seleccionadas resueltas mediante la aplicación de divulgación responsable:

Ver también

Referencias