Скоординированное раскрытие уязвимостей (CVD)
Что такое Скоординированное раскрытие уязвимостей (CVD)?
Скоординированное раскрытие уязвимостей (CVD)Процесс, в котором исследователь, затронутый вендор и иногда координатор согласуют сроки до публичного раскрытия уязвимости.
Скоординированное раскрытие уязвимостей (CVD, также "ответственное раскрытие") задаёт порядок сообщения исследователями об уязвимостях и реагирования вендоров. Типичные этапы: приватное сообщение по контакту безопасности, подтверждение и триаж, согласование сроков исправления (обычно 60-90 дней), выпуск патча и затем публичный бюллетень с идентификатором CVE и упоминанием исследователя. Национальные CERT, CISA или платформы вроде HackerOne могут выступать нейтральными координаторами при сложностях в коммуникации. По сравнению с полным раскрытием CVD сокращает время уязвимости защитников и сохраняет стимул вендора к исправлению. Для работы требуются опубликованный контакт безопасности, прозрачная политика, safe-harbour и реалистичные SLA.
● Примеры
- 01
Сообщение об уязвимости через security.txt или почтовый ящик PSIRT с согласованным сроком 90 дней.
- 02
Использование CERT/CC или национального CSIRT в роли координатора для мультивендорной уязвимости.
● Частые вопросы
Что такое Скоординированное раскрытие уязвимостей (CVD)?
Процесс, в котором исследователь, затронутый вендор и иногда координатор согласуют сроки до публичного раскрытия уязвимости. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Скоординированное раскрытие уязвимостей (CVD)?
Процесс, в котором исследователь, затронутый вендор и иногда координатор согласуют сроки до публичного раскрытия уязвимости.
Как защититься от Скоординированное раскрытие уязвимостей (CVD)?
Защита от Скоординированное раскрытие уязвимостей (CVD) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Скоординированное раскрытие уязвимостей (CVD)?
Распространённые альтернативные названия: CVD, Ответственное раскрытие.