ゼロデイエクスプロイト倫理/エチケット

Question

広く使用されているサードパーティのソフトウェアでゼロデイエクスプロイトに遭遇した場合、開発者としての私の責任は何ですか？

開発者は、影響を制限するようにサードパーティに指示するだけでよいですか？

サードパーティがすべてのユーザーベースに対してクリーンにならない場合は、他に誰に警告する必要がありますか？

ソフトウェアの脆弱性についてユーザーベースに警告するサードパーティソフトウェアプロバイダーの責任は何ですか？

Keith Loughnane · Answer

あなたの質問は、法律、倫理、自己保存をカバーしています。個人的には、完璧な世界では、ソフトウェアプロデューサーにパッチを適用するのに2か月かかり、その後脆弱性データベースに送信する必要があると思います。ソフトウェアプロデューサーは、受容的で感謝し、場合によってはあなたと協力して問題にパッチを当て、パッチをテストする必要があります。

残念ながら、私たちは完璧な世界に住んでいません。ソフトウェア会社は、開示を攻撃と見なす傾向があり、訴訟を起こす傾向があります。個人的な開示でさえリスクを伴います。

私がやろうとしているのは、会社が過去にどのように行動したかを調査することです。彼らが否定的に反応した場合、私は情報を匿名で提出し、そのままにしておくかもしれません。彼らがより受け入れやすいのであれば、私は彼らと連絡を取り、可能な限り脅威のない情報を提出し、彼らと協力してどのように進めるかを決定します。

私は敵対的で訴訟の多い会社に私の詳細を提供することを避け、それをインターネットにドロップすることはお勧めしません。