我在一个平台中发现了一个软件错误,在该平台上的应用程序开发人员可能不会预料到这种泄漏的情况下,它会导致可能的私人信息泄漏。这不是特别容易利用的东西,但它肯定是可能的。对于应用程序开发人员来说,修复起来有些复杂,但我有一些概念验证代码可以帮助解决问题,至少在某些情况下是这样。
我向平台供应商提交了一份安全错误报告。在最初同意这是一个安全漏洞(“中等”严重性)之后,他们现在回来并表示“目前正在按预期工作”和“我们确定没有安全影响”。这是提交报告后的 10 天,他们的指导方针要求 90 天的负责任披露时间表。
鉴于他们的“按预期工作”/“没有安全影响”的响应,我是否有义务在剩下的 80 天内继续坐下来?或者我可以开始建议受影响的开发人员如何解决这个错误吗?
您没有“义务”遵守任何此类惯例。不遵循它们可能仅仅意味着您将没有资格获得一些好东西。或者他们无法正确提供修复。
至于披露本身,我认为不等待剩下的 80 天是合乎道德的。
有一个臭名昭著的案例,一名安全研究人员利用 Facebook 上的 not-a-bug 在 Mark Zuckenberg 的墙上发帖(而 Facebook “令人惊讶地”对待他,就好像他在利用一个 bug)。
我建议再次询问,以便您从他们那里得到明确的声明,即他们对被禁止的披露不感兴趣。作为替代方案,您也可以告诉他们您认为它不再存在,因此您将在例如。除非他们另有说明,否则在您收到消息后 1-2 天。
一些漏洞最初被归类为非错误但后来在他们更好地理解后重新评估的情况并不少见。你可能会坚持试图说服他们。在这种情况下,您应该在进入“我现在就公开”阶段之前等待。