アプリケーションで公開されているセキュリティの脆弱性にどのように対応しますか？

私はD.W.の答えが好きだったので、別の文章を書くのが嫌いですが、残念ながら、ここで繰り返すのに十分な大きさの点がいくつかありました。

どうすればよいですか-無関係な通知を受け取ることなく、アプリケーションに対するゼロデイ脆弱性をできるだけ早く見つけますか？

脆弱性の開示元にできるだけ近づき、それが常に同じ元になるとは限らないことを認識してください。これは、情報の取得を改善し、自分自身を見つけやすくすることの組み合わせでなければなりません（これには、独自のスパムの影響があります）。

良いアイデアは次のとおりです。-サイトにバグと脆弱性を含める明白な方法を持っている-他のシステムによって再パッケージされたとき、合意の一部はセキュリティのバグがバグ/脆弱性追跡システムに送られることであることを確認してください。問題が送信される前に問題がどのように吟味されるかについて話し合うことになるでしょうが、最大の脆弱性は多くの場合、システムがより大きなシステムと統合する方法にあることを理解してください。 -脆弱性公開サイトがあなたを見つける方法を知っていることを確認してください-数時間または数日遅れる可能性があるので、真の「ゼロデイ」を修正しませんが、直接それらから直接聞きたいです。 -製品の潜在的な脆弱性に関連する情報をできるだけ多く収集します- Google Alerts -素晴らしいアイデアでした。他にもあると思います。

あなたは無関係な情報があなたの道に来ることを受け入れる必要があるかもしれません-あなたができる最善のことはそれを分類することです。

同様に、すべての脆弱性が善良な人によって発見されるわけではないことも覚えておいてください。他の誰かがそれを見つけるのを待つことは、脆弱性を見つける理想的な方法ではありません。製品が成長するにつれて、次のようなセキュリティ検証を導入する必要があります。

• コードセキュリティ分析-手動と自動の両方。
• ペンテスト
• 独立したレビュー

労力のレベルは、ここでのエラーのコストとバランスを取る必要があります。ただし、公開されている脆弱性を見つけて対応するコストは、独自のセキュリティ検証を実装するよりも高い場合があります。

方法-脆弱性データベースがアプリケーションに関連するエントリを作成するタイミングを確認しますか？

脆弱性データベースの多くにはアラートのストリーミングがあります。ストリームをサブスクライブし、RSSフィードをフィルタリングまたは取得して、検索条件で制限することができます。

方法-アプリケーションに関連する脆弱性データベースエントリの正確性を確認しますか？

まず、データベースグループとの関係を作成します。また、データベースグループがリーチを探している場合に、あなたとの関係を構築する方法を明確にしてください。 CERTのガイダンス 、および この記事 -推奨事項の優れたリソースですが、重要な部分は、彼らがあなたに到達できない場合、彼らは正しいことをしないことを認識しています回答。

そしてそれは2つの方法のプロセスです-あなたを見つける方法がありますが、情報を公開する方法も見つけます。また、公開するときは、確実な回答を含めてください。ソリューションの開発者として、実際のテストや実際の情報なしで作業することを思いついたように思われるセキュリティ脆弱性情報を提供するソリューションベンダーとのやり取りが多すぎます。次のようなものをリストします。

• 修正の詳細
• 修正の検証に使用されるテストの詳細
• 修正を実行した場合の影響の詳細（依存していたものが変更または破損する可能性はありますか？）
• 変更の範囲の概要-たとえば、「基になるユーティリティ関数に加えられた修正」、「XYZの相互運用性に使用されるスペシャライズドコードベースに加えられた修正、この領域外への影響は非常に限られています」

また、修正しようとしているCVEまたはその他の公開された問題の詳細。

できるだけ多くのストリームに入れてください-メール購読、ブログ、ウェブサイトなど。これを見つけてもらいたいと思っています。

そしてあなたのプロセスを知らせてください。ウェブサイトに脆弱性を提出した場合、24時間以内に返信があると思いますか？重症度をどのように評価しますか？解決のプロセスは何ですか？他のソリューションに統合されている製品の場合、相互運用テストは誰が行うのですか？

完璧なメトリックスは必要ありません。それらに準拠できる必要があります。したがって、応答時間が2週間である場合は、ユーザーに知らせてください。