Скоординированное раскрытие уязвимостей (CVD)
Что такое Скоординированное раскрытие уязвимостей (CVD)?
Скоординированное раскрытие уязвимостей (CVD)Процесс, в котором исследователь, затронутый вендор и иногда координатор согласуют сроки до публичного раскрытия уязвимости.
Скоординированное раскрытие уязвимостей (CVD, также "ответственное раскрытие") задаёт порядок сообщения исследователями об уязвимостях и реагирования вендоров. Типичные этапы: приватное сообщение по контакту безопасности, подтверждение и триаж, согласование сроков исправления (обычно 60-90 дней), выпуск патча и затем публичный бюллетень с идентификатором CVE и упоминанием исследователя. Национальные CERT, CISA или платформы вроде HackerOne могут выступать нейтральными координаторами при сложностях в коммуникации. По сравнению с полным раскрытием CVD сокращает время уязвимости защитников и сохраняет стимул вендора к исправлению. Для работы требуются опубликованный контакт безопасности, прозрачная политика, safe-harbour и реалистичные SLA.
● Примеры
- 01
Сообщение об уязвимости через security.txt или почтовый ящик PSIRT с согласованным сроком 90 дней.
- 02
Использование CERT/CC или национального CSIRT в роли координатора для мультивендорной уязвимости.
● Частые вопросы
Что такое Скоординированное раскрытие уязвимостей (CVD)?
Процесс, в котором исследователь, затронутый вендор и иногда координатор согласуют сроки до публичного раскрытия уязвимости. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Скоординированное раскрытие уязвимостей (CVD)?
Процесс, в котором исследователь, затронутый вендор и иногда координатор согласуют сроки до публичного раскрытия уязвимости.
Как работает Скоординированное раскрытие уязвимостей (CVD)?
Скоординированное раскрытие уязвимостей (CVD, также "ответственное раскрытие") задаёт порядок сообщения исследователями об уязвимостях и реагирования вендоров. Типичные этапы: приватное сообщение по контакту безопасности, подтверждение и триаж, согласование сроков исправления (обычно 60-90 дней), выпуск патча и затем публичный бюллетень с идентификатором CVE и упоминанием исследователя. Национальные CERT, CISA или платформы вроде HackerOne могут выступать нейтральными координаторами при сложностях в коммуникации. По сравнению с полным раскрытием CVD сокращает время уязвимости защитников и сохраняет стимул вендора к исправлению. Для работы требуются опубликованный контакт безопасности, прозрачная политика, safe-harbour и реалистичные SLA.
Как защититься от Скоординированное раскрытие уязвимостей (CVD)?
Защита от Скоординированное раскрытие уязвимостей (CVD) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Скоординированное раскрытие уязвимостей (CVD)?
Распространённые альтернативные названия: CVD, Ответственное раскрытие.
● Связанные термины
- attacks№ 133
Программа Bug Bounty
Официальная инициатива, в рамках которой организация приглашает внешних исследователей сообщать об уязвимостях и выплачивает вознаграждения в зависимости от их влияния.
- vulnerabilities№ 1216
Уязвимость
Слабое место в системе, приложении или процессе, которое злоумышленник может использовать для нарушения конфиденциальности, целостности или доступности.
- vulnerabilities№ 259
CVE (Common Vulnerabilities and Exposures)
Публичный каталог, присваивающий уникальный идентификатор каждой раскрытой уязвимости ПО или оборудования для однозначных ссылок в индустрии.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
- defense-ops№ 802
Управление патчами
Сквозной процесс выявления, тестирования, развёртывания и проверки обновлений ПО, устраняющих уязвимости или дефекты.
- defense-ops№ 1217
Оценка уязвимостей
Систематический анализ среды для выявления, классификации и приоритизации уязвимостей, как правило, без их активной эксплуатации.
● См. также
- № 1234Белый хакер
- № 451Серый хакер
- № 390Этичный хакер