Esta sección ha sido probado por nuestros expertos así se garantiza la veracidad de nuestra esta división.
Solución:
Debe informar a los desarrolladores en privado para que tengan la oportunidad de solucionarlo. Después de eso, si hace pública la vulnerabilidad, debe permitir que el desarrollador tenga tiempo suficiente para solucionar el problema y que quien esté expuesto tenga tiempo suficiente para actualizar sus sistemas. Personalmente, permitiría que el desarrollador hiciera el anuncio en un boletín de seguridad en la mayoría de los casos en lugar de anunciarlo yo mismo. Como mínimo, esperaría la confirmación de que la vulnerabilidad se ha solucionado. Si tiene tiempo y tiene acceso al código fuente, también puede proporcionar un parche.
Personalmente, creo que la divulgación responsable parece ser la mejor manera de ir desde un punto de vista ético y funcionó bien para Dan Kaminsky al revelar los detalles de la vulnerabilidad de envenenamiento de caché de DNS. Pero todo depende en gran medida de la empresa o grupo con el que estés tratando y también de la base de usuarios a la que afectará.
@VirtuosiMedia hace un gran trabajo al describir la “Divulgación responsable”.
Añadiría dos puntos:
- Trabaje con el proveedor (si puede), para asegurarse de que lo entienda completamente y no emita un parche a medias.
- Si el vendedor lo ignora o lo ignora, siga intentándolo. Sin embargo, si afirman que no es una vulnerabilidad, continúe y publique. Tan fuerte como sea posible. Si prometieron arreglarlo, pero no lo hacen, intente obtener una respuesta de ellos, junto con un cronograma definitivo al que se comprometan. En algún momento, si siguen postergando, eventualmente querrás decirles que vas a publicar de todos modos, y luego darles algo de tiempo para arreglarlo (pero breve y limitado).
Te mostramos las comentarios y valoraciones de los lectores
Si guardas algún titubeo y forma de modernizar nuestro crónica puedes escribir una interpretación y con placer lo analizaremos.