Подтвердить что ты не робот

Как долго я должен ждать, чтобы опубликовать уязвимость в проекте free/open source?

В моем обзоре бесплатного пакета, распространяемого по лицензии Apache, я обнаружил ряд ошибок, начиная от проблем с неясным кодом и заканчивая безопасностью.

Я сделал следующие шаги:

  • Я уведомил руководство проекта через частную электронную почту об этом две недели назад, и кроме подтверждения указанных писем, я не видел никакой внутренней или внешней деятельности по вопросам, которые я поднял.
  • Я следил за политиками, изложенными SANS и Wiretrip.

Вопросы

  • Должен ли я следить за другим письмом?
  • Если ответа нет, следует ли публиковать эти проблемы публично?
  • Кто-нибудь, кто прошел через это (с обеих сторон), имеет какие-либо хорошие рекомендации по его устранению?
4b9b3361

ОТВЕТЫ

Ответ 1

Честно говоря, у вас нет никаких обязательств, если:

  • Вы обнаружили проблемы, связанные с законной установкой программного обеспечения (в соответствии со всеми рекомендациями ToS/Fair Usage и т.д.).
  • Вы не изменяли и не подвергали риску безопасность системы каким-либо известным способом, целенаправленно настраивая систему таким образом, чтобы она была небезопасной (т.е. целенаправленно удалять меры безопасности, которые она имеет)
  • Вы не можете считаться соперником за финансовую выгоду в том же рыночном пространстве.

Если этот продукт является чисто открытым исходным кодом и по свободной лицензии, последнее, очевидно, верно, оставляя только первые два, которые нужно учитывать (если у него есть коммерческое лицензирование, это может быть другое дело).

Вы можете открыто документировать все проблемы, которые у вас есть с программным обеспечением, пока вы утверждаете, что это ваше мнение, и что вы возвращаете упомянутые проблемы с доказательством (предпочтительно, подтвержденным сторонним) в той или иной форме (блог, список рассылки, и т.д).

Если вы являетесь исследователем безопасности, специально предназначенным для исследования продукта или намеревающимся опубликовать свои результаты в рамках своей корпоративной отчетности, ваш юридический отдел будет иметь дополнительные правила, которые вам необходимо соблюдать (проконсультируйтесь с ними). ​​

Я считаю, что дилемма носит чисто этический характер, и я хотел бы привести одну часть вашего сообщения:

У меня есть несколько эгоистических причин для говоря: "Посмотрите, как я умный!" эти проблемы в коде! ", но они закалены, желая дать разработчикам время исправить код, и я хорошо знают, что эго и гордость могут быть участвующих в этих вопросах.

Если вы считаете, что ваши этические рассуждения справедливы, вы должны следовать здравому смыслу, который вы найдете наиболее разумным (я считаю, что SANS будет очень справедливым в этом случае).

Ответ 2

Возможно, нет активного сообщества. Может быть, им все равно. Может быть, о, они поставили там недостатки безопасности . Если вы сомневаетесь в том, сколько времени ждать, прежде чем публиковать, то наверняка кажется, что вы дали им все разумные шансы ответить вам. Поэтому, если вы думаете, что публика будет публичной, общественность должна быть открыта.

Ответ 3

Нельзя спорить с рекомендациями SANS, несмотря на размер разработчика. Независимо от размера команды, 30 дней достаточно времени для решения большинства проблем. Поскольку они молчат, есть вероятность, что вы не первый, кто нашел проблему.