Koordinierte Schwachstellenoffenlegung (CVD)
Was ist Koordinierte Schwachstellenoffenlegung (CVD)?
Koordinierte Schwachstellenoffenlegung (CVD)Prozess, in dem Entdecker, betroffener Hersteller und teils ein Koordinator einen Zeitplan abstimmen, bevor eine Schwachstelle oeffentlich gemacht wird.
Coordinated Vulnerability Disclosure (CVD), oft Responsible Disclosure genannt, strukturiert das Melden von Schwachstellen und die Reaktion der Hersteller. Typische Schritte: privater Bericht an einen Security-Kontakt, Bestaetigung und Triage, Einigung auf einen Fix-Zeitplan (meist 60 bis 90 Tage), Patch-Veroeffentlichung und schliesslich oeffentliches Advisory mit CVE-Kennung und Nennung des Forschenden. Nationale CERTs, CISA oder Plattformen wie HackerOne koennen als neutrale Koordinatoren auftreten, falls die Kommunikation stockt. Gegenueber Full Disclosure verkuerzt CVD die Expositionszeit fuer Verteidiger und erhaelt den Anreiz zur Behebung. Notwendig sind ein veroeffentlichter Security-Kontakt, eine klare Policy, Safe-Harbour-Klausel und realistische SLAs.
● Beispiele
- 01
Meldung an den Hersteller via security.txt oder PSIRT-Postfach mit vereinbarter 90-Tage-Frist.
- 02
CERT/CC oder ein nationales CSIRT als Koordinator bei einer Multi-Hersteller-Schwachstelle.
● Häufige Fragen
Was ist Koordinierte Schwachstellenoffenlegung (CVD)?
Prozess, in dem Entdecker, betroffener Hersteller und teils ein Koordinator einen Zeitplan abstimmen, bevor eine Schwachstelle oeffentlich gemacht wird. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Koordinierte Schwachstellenoffenlegung (CVD)?
Prozess, in dem Entdecker, betroffener Hersteller und teils ein Koordinator einen Zeitplan abstimmen, bevor eine Schwachstelle oeffentlich gemacht wird.
Wie funktioniert Koordinierte Schwachstellenoffenlegung (CVD)?
Coordinated Vulnerability Disclosure (CVD), oft Responsible Disclosure genannt, strukturiert das Melden von Schwachstellen und die Reaktion der Hersteller. Typische Schritte: privater Bericht an einen Security-Kontakt, Bestaetigung und Triage, Einigung auf einen Fix-Zeitplan (meist 60 bis 90 Tage), Patch-Veroeffentlichung und schliesslich oeffentliches Advisory mit CVE-Kennung und Nennung des Forschenden. Nationale CERTs, CISA oder Plattformen wie HackerOne koennen als neutrale Koordinatoren auftreten, falls die Kommunikation stockt. Gegenueber Full Disclosure verkuerzt CVD die Expositionszeit fuer Verteidiger und erhaelt den Anreiz zur Behebung. Notwendig sind ein veroeffentlichter Security-Kontakt, eine klare Policy, Safe-Harbour-Klausel und realistische SLAs.
Wie schützt man sich gegen Koordinierte Schwachstellenoffenlegung (CVD)?
Schutzmaßnahmen gegen Koordinierte Schwachstellenoffenlegung (CVD) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Koordinierte Schwachstellenoffenlegung (CVD)?
Übliche alternative Bezeichnungen: CVD, Responsible Disclosure.
● Verwandte Begriffe
- attacks№ 133
Bug-Bounty-Programm
Formale Initiative, mit der eine Organisation externe Forschende einlaedt, Schwachstellen zu melden, und Praemien je nach Auswirkung zahlt.
- vulnerabilities№ 1216
Schwachstelle
Eine Schwäche in einem System, einer Anwendung oder einem Prozess, die ein Angreifer ausnutzen kann, um Vertraulichkeit, Integrität oder Verfügbarkeit zu beeinträchtigen.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Öffentlicher Katalog, der jeder offengelegten Software- oder Hardware-Schwachstelle einen eindeutigen Bezeichner zuweist, um sie branchenweit eindeutig zu referenzieren.
- forensics-ir№ 524
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
- defense-ops№ 802
Patch-Management
End-to-End-Prozess, der Software-Updates zur Behebung von Schwachstellen oder Fehlern identifiziert, testet, ausrollt und verifiziert.
- defense-ops№ 1217
Schwachstellenbewertung
Systematische Überprüfung einer Umgebung zur Identifikation, Klassifizierung und Priorisierung von Sicherheitsschwächen, in der Regel ohne aktive Ausnutzung.
● Siehe auch
- № 1234White-Hat-Hacker
- № 451Grey-Hat-Hacker
- № 390Ethical Hacker