漏洞披露最佳实践
从安全研究人员的角度来看,只需要在Twitter上放置一个为期0天的博客帖子,然后将有关MITRE,Snyk和WhiteSource的研究成果转交给其他人,然后让他们处理发布的通知,就变得极其简单。
通过私下向组织公开安全漏洞,安全研究人员不仅要尊重组织,更重要的是要尊重组织软件的用户。
-乔纳森·莱特舒(Jonathan Leitschuh)
最佳做法1:制定披露政策
作为安全研究人员,在向组织披露安全漏洞时,具有既定的预先披露政策非常重要。
该披露政策应在初始电子邮件联系人中明确说明,并应有明确定义的披露期限。
为什么
例子
资源资源
1