web-dev-qa-db-ja.com

ベンダーがセキュリティバグではないと言ったら、責任ある開示はどのように機能しますか?

プラットフォームのソフトウェアバグを特定しました。これは、そのプラットフォームのアプリ開発者がそのような漏洩を予期しない可能性がある状況で、個人情報が漏洩する可能性があるものです。これは特に悪用しやすいものではありませんが、確かに可能です。アプリ開発者が修正するのはやや複雑ですが、少なくとも一部のシナリオでは、問題の解決に役立つ概念実証コードをいくつか用意しています。

プラットフォームベンダーにセキュリティバグレポートを提出しました。最初はセキュリティバグ(「中程度」の重大度)であることに同意した後、彼らは戻ってきて、「これは現在、意図したとおりに機能している」と述べ、「セキュリティへの影響はないと判断しました」。これは報告書を提出してから10日後であり、彼らのガイドラインは90日間の責任ある開示予定表を要求しています。

彼らの「意図したとおりに機能している」/「セキュリティへの影響ではない」という応答を考えると、私は残りの80日間、これに座り続ける義務がありますか?または、このバグを回避する方法について、影響を受ける開発者にアドバイスを開始できますか?

10
CommonsWare

あなたはそのような慣習に従うことを「義務づけられている」わけではありません。それらに従わない場合は、単に一部の特典を利用できないことを意味する場合があります。または、彼らが適切に修正を提供できないこと。

開示自体については、残りの80日間待たないことが倫理的に妥当だと思います。

Facebookのバグではないマークを使用してMark Zuckenbergのウォールに投稿した悪名高いセキュリティリサーチャーのケースがあります(Facebookは「驚くほど」彼をバグを悪用しているように扱いました)。

もう一度質問することをお勧めします。そうすることで、彼らが禁止されている開示に興味がないという彼らの側からの明確な声明が得られます。別の方法として、あなたはそれがもはや存在しないと考え、したがって、例えばでそれを開示することを彼らに伝えることもできます。メッセージから1〜2日です。

一部の脆弱性は、最初はバグではないとしてトリアージされていますが、後でそれをよりよく理解した後で再評価されることも珍しくありません。あなたはそれらを説得しようと主張するかもしれません。その場合は、「今すぐ開示する」フェーズに進む前に待機する必要があります。

7
Ángel