Как долго мне следует ждать публикации информации об уязвимости в проекте с открытым исходным кодом?
В моем обзоре бесплатного пакета, распространяемого по лицензии Apache, я обнаружил ряд ошибок, начиная от неясных проблем с кодом до дыр в безопасности.
Я предпринял следующие шаги:
- Я уведомил руководителя проекта об этом по частной электронной почте две недели назад, и, кроме подтверждения указанных писем, я не видел какой-либо внутренней или внешней активности в отношении поднятых мной вопросов.
- Я следовал правилам SANS и Wiretrip.
Вопросы
- Должен ли я получить еще одно электронное письмо?
- Если нет ответа, я должен идти вперед и публиковать эти вопросы публично?
- У кого-нибудь, кто прошел через это (с любой стороны), есть какие-нибудь хорошие предложения о том, как справиться с этим?
3 ответа
По правде говоря, вы не обязаны в любом случае, если:
- Вы обнаружили проблемы при законной установке программного обеспечения (следуя всем Правилам ToS/Fair Usage и т. Д.)
- Вы не изменяли и не ставили под угрозу безопасность системы каким-либо известным способом, целенаправленно настраивая систему таким образом, чтобы она была небезопасной (то есть целенаправленно удаляя имеющиеся у нее меры безопасности)
- Вы не можете считаться конкурентом за финансовую выгоду в том же рыночном пространстве.
Если этот продукт является чисто открытым исходным кодом и распространяется по бесплатной лицензии, последнее очевидно верно, оставляя только первые два, которые следует учитывать (если у него есть коммерческое лицензирование, это может быть другим вопросом).
Вы можете открыто задокументировать любые проблемы, которые у вас возникли с программным обеспечением, при условии, что вы указываете, что они являются вашим мнением, и что вы подкрепили указанные проблемы подтверждением (предпочтительно проверенным сторонней организацией) в какой-либо форме (блог, список рассылки и т. Д.),
Если вы являетесь исследователем безопасности, специально назначенным для исследования продукта или планирующим опубликовать ваши выводы в качестве части вашей корпоративной отчетности, у вашего юридического отдела будут дополнительные правила, которым вы должны следовать (проконсультируйтесь с ними).
Я считаю, что дилемма является чисто этической, и я хотел бы процитировать одну часть вашего сообщения:
У меня есть несколько эгоистичные причины сказать: "Посмотри, какой я умный! Я нашел эти проблемы в коде!" но они сдерживаются желанием дать разработчикам время для исправления кода, и я хорошо знаю, что в этих вопросах могут участвовать эго и гордость.
Если вы считаете, что ваши этические рассуждения были справедливыми, вам следует следовать здравому смыслу, который вы считаете наиболее разумным (я считаю, что в данном случае SANS будет очень справедливым).
Может быть, нет активного сообщества. Может, им просто все равно. Может быть, о-о, они специально наложили недостатки безопасности. Если вы спрашиваете, как долго ждать, прежде чем обнародовать, то, похоже, вы дали им все разумные шансы ответить вам. Так что, если вы думаете, что публичное выступление служит обществу, пойдите публично.
Не могу поспорить с рекомендациями SANS, несмотря на размер разработчика. Независимо от размера команды, 30 дней - это достаточно времени для решения большинства вопросов. Поскольку они молчат, есть вероятность, что вы не первый, кто обнаружит проблему.