Sobre la divulgación de fallos de seguridad

¿Qué hacer cuando encontramos un fallo de seguridad en una aplicación? Y el responsable de la misma, ¿cómo debería comportarse? Habitualmente todo lo regula el buen juicio y las habilidades sociales y técnicas de las dos partes implicadas.

Hace algunos años Steve Christey y Chris Wysopal trataron de proponer el Responsible Vulnerability Disclosure Process draft-christey-wysopal-vuln-disclosure-00.txt . Se puede leer un poco sobre el tema en Retirada del borrador de RFC sobre publicación de vulnerabilidades.

Pero volviendo a la actualidad, en Informático y Segurata nos avisaban hace unos días en Responsible disclosure de la existencia de un debate renovado, porque se anuncia para diciembre de 2010 la ISO/IEC NP 29147 Information technology – Security techniques – Responsible Vulnerability Disclosure.

Hay algo de información en Responsible Disclosure – Old Debate, Fresh Aspects?!.

También descubrimos que existía el Common Frameworks for Vulnerability Disclosure and Response (CVRF).

Un pensamiento en “Sobre la divulgación de fallos de seguridad

  1. Pingback: Bitacoras.com

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s