Fatal编程技术网
  • security/
  • Security 在免费/开源项目中公布漏洞需要多长时间?

Security 在免费/开源项目中公布漏洞需要多长时间?

security

Security 在免费/开源项目中公布漏洞需要多长时间?,security,disclosure,Security,Disclosure,在我对Apache许可证下分发的免费软件包的回顾中,我发现了许多漏洞,从模糊的代码问题到安全漏洞 我已经采取了以下步骤: 两周前,我通过私人电子邮件通知了项目负责人,除了确认上述电子邮件外,我没有看到任何与我提出的问题有关的内部或外部活动 我遵守了和制定的政策 问题 我应该再发一封电子邮件吗 如果没有回应,我是否应该继续公开发布这些问题 经历过这一切的人(来自任何一方)对如何处理这件事有什么好的建议吗 尽管开发人员规模很大,但不能对SAN的建议提出异议。无论团队规模大小,30天是解决大多数

在我对Apache许可证下分发的免费软件包的回顾中,我发现了许多漏洞,从模糊的代码问题到安全漏洞

我已经采取了以下步骤:

  • 两周前,我通过私人电子邮件通知了项目负责人,除了确认上述电子邮件外,我没有看到任何与我提出的问题有关的内部或外部活动
  • 我遵守了和制定的政策
问题
  • 我应该再发一封电子邮件吗
  • 如果没有回应,我是否应该继续公开发布这些问题
  • 经历过这一切的人(来自任何一方)对如何处理这件事有什么好的建议吗
尽管开发人员规模很大,但不能对SAN的建议提出异议。无论团队规模大小,30天是解决大多数问题的充足时间。由于他们保持沉默,你可能不是第一个发现问题的人。

也许没有活跃的社区。也许他们只是不在乎。也许,天哪,他们故意把安全漏洞放在那里。如果你的问题是,上市前要等多久,那么,你肯定给了他们一切合理的机会来回应你。因此,如果你认为上市服务于公众,那么就上市。

老实说,如果:

  • 您在软件的合法安装下发现问题(遵循所有ToS/合理使用指南等)
  • 您没有通过故意将系统设置为不安全的方式(即故意卸载其拥有的安全措施),以任何已知的方式修改或损害系统的安全性
  • 在同样的市场空间里,你不可能被认为是财务收益的竞争对手
    • 如果这个产品是纯开源的,并且有免费许可,那么最后一个显然是正确的,只剩下前两个需要考虑(如果它有商业许可,这可能是另一回事)

    您可以公开记录软件的任何问题,只要您提供这些问题是您的意见,并且您以某种形式(博客、邮件列表等)提供证据(最好由第三方验证)支持所述问题

    如果您是专门负责研究产品的安全研究员,或打算将您的发现作为公司报告的一部分发布,您的法律部门将有其他规则需要遵守(咨询他们)

    我相信dilema是纯粹道德的,我想引用你文章的一部分:

    我确实有一些自私的理由 说“看我多聪明!我发现了 代码中的这些问题!”但是 因为想给别人机会而受到锻炼 开发人员是时候修复代码了,我 要清楚地知道,自我和骄傲是可以改变的 参与这些事情

    如果你认为你的道德推理是公平的,那么你应该遵循任何你认为最合理的常识(在这种情况下,我认为它是非常公平的)。p> 我同意。如果没有任何活动的迹象,最后再戳一下,然后开始让人们知道。就目前而言,每个人都依赖于默默无闻的安全性,而默默无闻其实什么都不是。据你所知,人们可能已经在利用这个漏洞。再戳一次就成功了。第三次是魅力?谢谢查看ZDI;也许你可以把它们卖掉;)披露政策是个人的事情,做你认为道德上正确的事情,你不会出错。@George只是想知道为什么你去掉了安全标签:是什么让它与安全无关?@George Stocker:明白。它不再描述我的处境,尽管它很接近。由于这个问题不再像我写的那样,我把它变成了一个社区问题。谢谢你深思熟虑的回答。我随后与供应商进行了跟进,供应商回答说他们一直很忙,我应该将其发布到总列表中。我也这么做了。我喜欢认为我可以邪恶地思考,但我甚至不认为它们可能是故意的后门缺陷。那么多邪恶的天才不在代码库的其余部分,所以我认为情况并非如此。这是一个测试工具,大多数用户群(每天大约5条帖子)不是开发人员。不管怎样,由于这些答案,我一直在跟进,现在公告已经公开。谢谢你的反馈!