事件的公共时间表旨在进一步围绕安全研究和脆弱性披露的对话

当脆弱性披露变酸时 - 新的GitHub repo详细说明了道德黑客面临的法律威胁和风险

更新一个新github存储库的创建是为了记录和跟踪漏洞披露变得酸痛的时代。

研究威胁项目详细介绍了研究人员与目标组织之间的历史法律斗争,这些组织被发现具有安全缺陷。


有关的据报道,施乐法律威胁在渗透安全会议上沉默了研究人员


它建立在收集的数据之上已经建立的列表安全研究人员和“脆弱性历史学家”耶利哥(Jericho)启动了原始项目,称为2009年网站Errata的法律威胁部分。beplay体育能用吗

耶利哥告诉T他每天beplay2018官网都有:“从那时起,我们就看到了所有要扼杀研究是一场失败的战斗和错误的方法的观点。

“目标是要清楚使用该策略的公司清单,以便研究人员可以避免使用它们。或者,如果他们选择在该供应商的产品中披露漏洞,请匿名进行或其他一些保护。”

讲话每日swbeplay2018官网ig,研究人员病态代码,谁和谁在一起耶利哥凯西·约翰·埃利斯(Casey John Ellis)维护回购的说法,他说,搬到Github是为了使研究人员和组织都有机会上传和更改信息,这是在原始网站上“不会发生的”。beplay体育能用吗


研究威胁是过度反应,需求,停止和停止信件的集合研究威胁是“过度反应,需求,停止和停止信件的集合”

法官还是陪审团?

研究威胁提供了从2006年到今天的2006年脆弱性披露事件的时间表,包括对合法的威胁以及如何解决。

它还具有一个“好东西”文件夹,研究人员可以上传他们从代表他们行事的公司或律师收到的信件副本。

任何人都可以提出拉动请求,以更改这个不断增长的数据库中的信息,从而为所有有关方面创建一个级别的竞争环境。

根据病态代码,使时间表开源也提高了其准确性,从而降低了误报案件的风险。


阅读更多最新安全行业新闻


安全研究人员告诉每日swbeplay2018官网ig: “I’m not the judge and jury on any of these situations because, you know, people could lie and say they got a letter, but they were actually doing something bad… and that’s one of the issues we considered when we were thinking about like, should we put a time limit [on how long information can be changed] of like a month or something?

“然后我们就像,这也不是真正合适的,因为事情可能会快速或缓慢地发生。

“这就是为什么[我们]将其放在Github上,以便人们可以实际投射或对其进行审查,以说得很好,此外,这是不对的,这是真的……无论如何,这是一个实验。”


有关的安全研究人员发起了GoFundMe运动,以应对脆弱性披露的法律威胁


杰里科补充说:“我的最大事情是试图保持事实和中立。用很多话来说,他们(组织)已经被“错误选择混蛋”的旗帜召唤出来,因此他们公司事件的摘要是简短的,而且要以支持文档为目的。

“这个想法更多地围绕着‘您正在注意,研究人员现在已经意识到您的策略,这对任何人都不利。”

“但是,由于损坏已经造成,因此不会被删除。如果他们对威胁进行了支持并提供了信息,我将更新以包括在内。因此,我认为这确实是一种警告,但这并不是要“惩罚”公司。”

做出更安全的决定

凯西·约翰·艾利斯(Casey John-Ellis)同意耶利哥,告诉每日swbeplay2018官网ig形成了存储库“鼓励人们聚集经过验证的互动,而事实证明脆弱性报告在法律上是不安全的”。

“希望安全研究人员能够使用它来做出更安全的决定,并为组织更好地了解当有人接近他们提供合法帮助时,他们应该做什么类型的事情 - 理想的世界将是这种类型的互动是一种非常正常,中立且预期的一部分,但不幸的是,我们他们说:“仍然有办法去那里。”

“这开源元素添加了额外的透明度层,并使回复权的权利更加容易。这两者对于客观性和使信息保持最新都很重要。”

改变态度

研究威胁包含有关研究人员和组织如何在“完美”协调披露中共同合作的指导。

关于时间表,病态法规表示,以这样的方式显示信息显示了某些公司对道德黑客攻击的历史变化。

列表中的著名事件包括2008年的两项条目,当时苹果被指控取消谈话黑帽,一个是由于不公开协议,另一个显然是由于公司营销团队的担忧。

病态的代码告诉每日swbeplay2018官网igmany companies won’t appear twice: “Once they fix up the policy and get everything sorted out, especially getting a proper vulnerability disclosure policy with safe harbor and that sort of stuff involved, where it strictly says, like Apple’s one [policy] which says, ‘this supersedes every other violation as long as you report it to Apple’.”

最近的案件

尽管该项目可能表明公司的态度不断变化苹果和Google,该存储库还可以作为现实检查,这些组织正在考虑在私人披露漏洞后采取法律行动的组织。

最新入口与事件有关先前报道经过每日swbeplay2018官网ig,在此期间,安全研究员罗伯·戴克(Rob Dyke)表示,在漏洞披露变得酸痛之后,他获得了法律通知。

该事件仍未得到解决,如堤防所详细在博客文章中,领导安全研究人员进行先发制人的众包。


本文已更新以包括进一步的评论


你可能也会喜欢压力在阀上增加到拔下蒸汽游戏平台漏洞