¿Qué hacer cuando encontramos un fallo de seguridad en una aplicación? Y el responsable de la misma, ¿cómo debería comportarse? Habitualmente todo lo regula el buen juicio y las habilidades sociales y técnicas de las dos partes implicadas.
Hace algunos años Steve Christey y Chris Wysopal trataron de proponer el Responsible Vulnerability Disclosure Process draft-christey-wysopal-vuln-disclosure-00.txt . Se puede leer un poco sobre el tema en Retirada del borrador de RFC sobre publicación de vulnerabilidades.
Pero volviendo a la actualidad, en Informático y Segurata nos avisaban hace unos días en Responsible disclosure de la existencia de un debate renovado, porque se anuncia para diciembre de 2010 la ISO/IEC NP 29147 Information technology – Security techniques – Responsible Vulnerability Disclosure.
Hay algo de información en Responsible Disclosure – Old Debate, Fresh Aspects?!.
También descubrimos que existía el Common Frameworks for Vulnerability Disclosure and Response (CVRF).
Pingback: Bitacoras.com