17

Apacheライセンスの下で配布された無料パッケージのレビューで、あいまいなコードの問題からセキュリティホールに至るまで多くのバグを見つけました。

私は次の手順を実行しました。

  • 私はこの2週間前にプロジェクトリーダーにプライベートメールで通知しましたが、そのメールの確認以外に、私が提起した問題に関する社内外の活動は見られませんでした。
  • 私はSANSWiretripによって定められたポリシーに従いました。

質問

  • 別のメールでフォローアップする必要がありますか?
  • 応答がない場合は、先に進んでこれらの問題を公開する必要がありますか?
  • これを(どちらの側からでも)経験したことがある人は、これを処理する方法について何か良い提案がありますか?
4

3 に答える 3

5

正直なところ、次の場合はどちらの方法でも義務はありません。

  1. ソフトウェアの合法的なインストールで問題が見つかりました(すべてのToS /公正使用ガイドラインなどに従ってください)
  2. 安全でないようにシステムを意図的に設定することによって(つまり、システムが持っているセキュリティ対策を意図的にアンインストールすることによって)、既知の方法でシステムのセキュリティを変更または侵害しなかった。
  3. 同じ市場空間での金銭的利益のライバルとは考えられません。

この製品が純粋にオープンソースであり、無料ライセンスの下にある場合、最後は明らかに真実であり、最初の2つだけが考慮されます(商用ライセンスがある場合、これは別の問題になる可能性があります)。

ソフトウェアに関する問題は、自分の意見であり、何らかの形式(ブログ、メーリングリストなど)で証明(できればサードパーティによって検証されたもの)で裏付けられている限り、オープンに文書化できます。 。

製品の調査に特別に割り当てられたセキュリティ研究者である場合、または企業レポートの一部として調査結果を公開する予定の場合は、法務部門が従う必要のある追加のルールを用意します(相談してください)。

ジレンマは純粋に倫理的であると私は信じており、あなたの投稿の一部を引用したいと思います。

「私がどれほど賢いのか見てください!コードにこれらの問題が見つかりました!」と言うのには、やや利己的な理由があります。しかし、彼らは開発者にコードを修正する時間を与えたいと思って和らげられており、エゴとプライドがこれらの問題に関与している可能性があることを私はよく知っています。

倫理的推論が公正であると考える場合は、最も合理的であると思われる常識に従う必要があります(この場合、SANSは非常に公正であると思います)。

于 2010-01-12T02:02:54.160 に答える
3

たぶん、活発なコミュニティはありません。たぶん彼らは気にしない。たぶん、ああ、彼らは故意にそこにセキュリティ上の欠陥を置いたのだろ。あなたが質問するなら、公開される前にどれくらい待つか、それなら、あなたは彼らにあなたに返答するためのあらゆる合理的な機会を与えたようです。ですから、上場することが大衆に役立つと思うなら、公になりましょう。

于 2010-01-12T01:53:47.657 に答える
2

開発者の規模にもかかわらず、SANSからの推奨事項について議論することはできません。チームの規模に関係なく、30日はほとんどの問題に対処するのに十分な時間です。彼らは沈黙しているので、あなたが最初に問題を見つけたのではない可能性があります。

于 2010-01-12T01:50:25.730 に答える