举动希望激发瑞士组织中更广泛地采用脆弱性披露政策
瑞士邮政已发布安全港政策的法律措辞错误赏金根据Creative Commons许可证进行计划。
希望此举可能导致臭名昭著的保守派瑞士组织中实施脆弱性披露政策(VDP)。
瑞士邮政是瑞士的国家邮政局。该国拥有的组织还负责监督该国的在线投票(电子投票)系统。
定期的读者每日swbeplay2018官网ig将很清楚出现的争议瑞士邮政的Bug Bounty计划发布之后去年。
背景电子投票入侵测试:瑞士邮政错误赏金主持人tallations提交
但是随着尘埃落定在传奇上,瑞士邮报宣布了已经发布了其安全港条款的法律定义在创意共享许可下。
它是在ModSecurity Owasp Core Core Set项目的安全顾问和共同领导者之后基督教素接近组织考虑进行更改。
菲利尼告诉每日swbeplay2018官网ig:“ [安全港]措辞是为瑞士邮政在线投票漏洞赏金开发的,该漏洞赏金在2019年初以公共入侵测试为名。
“这引起了国际上的广泛关注,即使无法渗透生产系统,也导致系统源代码的不良压力。
“瑞士邮报花了一段时间才能再次提出漏洞赏金的想法,我们想确保在我们接近他们之前的时机,并要求他们将措辞作为创意共享文档发布。”
风暴中的港口
安全港条款经常将其添加到Bug Bounty或VDP中,作为允许安全研究人员和道德黑客测试系统和网络的一种手段,而不必担心法律谴责。
瑞士邮政公司决定有效地发布自己的安全港政策,这使其他组织可以将此措辞用作自己的错误赏金或VDP的蓝图。
“大公司不会定期将其文本释放为创作共用,”费利尼说。“我们对他们的认可感到非常满意。”
弗里尼解释说,瑞士有严格的法律,使其构成规避安全措施的罪行。
他说:“港口扫描似乎还可以。”“其他任何事都没有。”
最终,这意味着漏洞赏金计划和VDP很少见,即使它们可用,安全研究人员也受到限制。
Folini希望瑞士邮政决定根据Creative Commons许可开放其安全港政策的决定将为其他组织带来变化瑞士。
他说:“刑法需要更新,以承认道德黑客和漏洞赏金猎人的作用。但这可能需要很多时间。同时,这个合法的安全港是解决紧迫问题的临时补救措施。”
瑞士邮政发言人告诉每日swbeplay2018官网ig:“我们现在正在进一步扩展此[Bug Bounty]计划,目的是很快运行范围有限的公共计划。
“也感谢瑞士邮政的承诺,《 Bug Bounty》的问题正在慢慢进入瑞士。”
他们补充说:“客户,瑞士邮政与合作伙伴之间的互动良好的安全结果。因此,一个共同的理解至关重要。
“安全是一个持续的过程,瑞士邮政希望从全球伦理黑客社区的集体智能中受益,并与世界上最好的人竞争 - 为此,它需要一个合法的安全港。”
