Open Bug Bountyアーカイブから解決済みのレポートを削除することは悪い習慣ですか?
XSS脆弱性レポートがOpen Bug Bountyを介して作成されましたが、これは修正され、確認され、報酬が行われました。
記者は問題が解決されたことをマークしました。彼らはさらに、Open Bug Bountyアーカイブから脆弱性を削除することを提案しました。
Open Bug Bountyに慣れていないので、これが良いことか悪いことかはわかりません。脆弱性は倫理的にオープンに報告されていたため、報告があったという事実はすでに公記録にあります。私がそれを削除するために考えることができる唯一の理由は評判保護であり、それでもそれは非常に強い理由のようには思えません。
私の傾向はデフォルトでそれをアーカイブに残すことであり、その削除は疑わしいようです。
アーカイブからレポートを削除する正当な理由はありますか?
Open Bug BountyのWebサイトのページには、次のように記載されています:
...セキュリティ研究者は、脆弱性の詳細を公開する前に、いつでも脆弱性の提出を削除できます。ただし、いったん開示されると、提出物を削除して、研究者への過度の圧力を防ぐことはできなくなります。政治的またはビジネス上の理由で脆弱性に関する情報を削除することはありません。
報告者がこのレポートの削除を申し出ている唯一の本当の理由は、いったん脆弱性が公開されると、公開されて削除できないためです。
公に開示する前にレポートを削除する正当な理由は考えられません。開示を延期することには十分な理由がありますが、開示を削除することはできません。
記者に連絡して、この報告について他に懸念がないことを確認してください。可能性は低いですが、彼らには公の開示を遅らせる正当な理由があるかもしれません。
ベストプラクティスは、合意された開示タイムラインに基づいて公開を進めることです。
(とはいえ、レポーターがあなたの入力なしで自分の意志で提出を削除することを選択した場合、それはOpen Bug Bountyの設定方法に応じた権利です。)