Sobre la divulgación de fallos de seguridad

¿Qué hacer cuando encontramos un fallo de seguridad en una aplicación? Y el responsable de la misma, ¿cómo debería comportarse? Habitualmente todo lo regula el buen juicio y las habilidades sociales y técnicas de las dos partes implicadas.

Hace algunos años Steve Christey y Chris Wysopal trataron de proponer el Responsible Vulnerability Disclosure Process draft-christey-wysopal-vuln-disclosure-00.txt . Se puede leer un poco sobre el tema en Retirada del borrador de RFC sobre publicación de vulnerabilidades.

Pero volviendo a la actualidad, en Informático y Segurata nos avisaban hace unos días en Responsible disclosure de la existencia de un debate renovado, porque se anuncia para diciembre de 2010 la ISO/IEC NP 29147 Information technology – Security techniques – Responsible Vulnerability Disclosure.

Hay algo de información en Responsible Disclosure – Old Debate, Fresh Aspects?!.

También descubrimos que existía el Common Frameworks for Vulnerability Disclosure and Response (CVRF).

About these ads

Un pensamiento en “Sobre la divulgación de fallos de seguridad

  1. Pingback: Bitacoras.com

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s