Divulgacao coordenada de vulnerabilidades (CVD)
O que é Divulgacao coordenada de vulnerabilidades (CVD)?
Divulgacao coordenada de vulnerabilidades (CVD)Processo em que o descobridor, o fornecedor afetado e por vezes um coordenador acordam um calendario antes da publicacao publica de uma falha de seguranca.
A divulgacao coordenada de vulnerabilidades (CVD), tambem chamada divulgacao responsavel, estrutura a forma como os investigadores reportam falhas e como os fornecedores respondem. As etapas tipicas sao: reporte privado a um contacto de seguranca, confirmacao e triagem, acordo de prazo de correcao (frequentemente 60 a 90 dias), lancamento do patch e aviso publico com identificador CVE e credito ao investigador. CERT nacionais, CISA ou plataformas como HackerOne podem atuar como coordenadores neutrais quando a comunicacao falha. Face a divulgacao total, a CVD reduz o tempo de exposicao dos defensores mantendo a pressao para corrigir. Exige contacto de seguranca publicado, politica clara, clausula de safe harbour e SLA realistas.
● Exemplos
- 01
Reportar uma falha ao fornecedor via security.txt ou caixa PSIRT, com janela acordada de 90 dias.
- 02
Recorrer ao CERT/CC ou a um CSIRT nacional como coordenador numa vulnerabilidade multi-fornecedor.
● Perguntas frequentes
O que é Divulgacao coordenada de vulnerabilidades (CVD)?
Processo em que o descobridor, o fornecedor afetado e por vezes um coordenador acordam um calendario antes da publicacao publica de uma falha de seguranca. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Divulgacao coordenada de vulnerabilidades (CVD)?
Processo em que o descobridor, o fornecedor afetado e por vezes um coordenador acordam um calendario antes da publicacao publica de uma falha de seguranca.
Como funciona Divulgacao coordenada de vulnerabilidades (CVD)?
A divulgacao coordenada de vulnerabilidades (CVD), tambem chamada divulgacao responsavel, estrutura a forma como os investigadores reportam falhas e como os fornecedores respondem. As etapas tipicas sao: reporte privado a um contacto de seguranca, confirmacao e triagem, acordo de prazo de correcao (frequentemente 60 a 90 dias), lancamento do patch e aviso publico com identificador CVE e credito ao investigador. CERT nacionais, CISA ou plataformas como HackerOne podem atuar como coordenadores neutrais quando a comunicacao falha. Face a divulgacao total, a CVD reduz o tempo de exposicao dos defensores mantendo a pressao para corrigir. Exige contacto de seguranca publicado, politica clara, clausula de safe harbour e SLA realistas.
Como se defender contra Divulgacao coordenada de vulnerabilidades (CVD)?
As defesas contra Divulgacao coordenada de vulnerabilidades (CVD) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Divulgacao coordenada de vulnerabilidades (CVD)?
Nomes alternativos comuns: CVD, Divulgacao responsavel.
● Termos relacionados
- attacks№ 133
Programa de bug bounty
Iniciativa formal pela qual uma organizacao convida investigadores externos a comunicar vulnerabilidades e paga recompensas em funcao do impacto.
- vulnerabilities№ 1216
Vulnerabilidade
Fraqueza em um sistema, aplicação ou processo que um atacante pode explorar para comprometer confidencialidade, integridade ou disponibilidade.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Catálogo público que atribui um identificador único a cada vulnerabilidade divulgada para que possa ser referenciada de forma inequívoca em toda a indústria.
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
- defense-ops№ 802
Gestão de patches
Processo de ponta a ponta para identificar, testar, implantar e verificar atualizações de software que corrigem vulnerabilidades ou bugs.
- defense-ops№ 1217
Avaliação de vulnerabilidades
Revisão sistemática de um ambiente para identificar, classificar e priorizar fraquezas de segurança, normalmente sem exploração ativa.
● Veja também
- № 1234Hacker de Chapeu Branco
- № 451Hacker de Chapeu Cinza
- № 390Hacker Etico