作为一个尽职尽责的程序员,我把安全作为我开发的每一个产品的核心要求之一。为了防止缺陷被引入,我提倡一种意识文化(例如,确保与我一起工作的团队成员了解常见的漏洞类型),通过定期阅读专业网站(例如The H Security或Dan Kaminsky 的博客)来保持自己的最新状态,观看在执行代码审查时找出常见错误(并在必要时讨论它们)。
但是,我们都知道,根据墨菲定律,安全漏洞(迟早)会出现。我的(密切相关的问题)是:
- 我如何促进负责任地披露研究人员发现的安全漏洞?也就是说,我如何鼓励他们与我一起合作,在准备好修复之前不发布细节,同时确保他们觉得自己的辛勤工作受到尊重并获得应得的荣誉?
- 如果有人采取全面披露途径,我该如何以最及时和最有效的方式做出反应(尽快收到漏洞警报,然后采取适当的缓解措施) ?
此刻,我在想:
- 确保我的网站上明确列出了安全联系人
- 如果我的产品在那里发布,则使用CVE 详细信息获取我的产品的提要
- 也遵循安全邮件列表(请参阅此 IT 安全答案)
- 确保快速准备好补丁
- 不断与错误报告者沟通,并随着进展进行更新
- 公开赞扬研究人员的发现
- 允许在补丁发布一段时间后完全公开(以允许受影响的客户安装它们)
(我是一家初创公司的小团队的一员,因此我的行动方案不受管理问题的限制。不过,我仍然认为您提供的任何建议也可以应用于其他情况。)