Площадки Bug Bounty начали переходить на стандарт ISO по раскрытию уязвимостей

Площадки программ по раскрытию уязвимостей начали переходить на стандарт, утвержденный Международной организацией по стандартизации (International Organization for Standardization, ISO) ISO 29147:2014, в котором задокументированы нормы, правила и рекомендации по публикации информации об обнаруженных уязвимостях. В частности, о переходе на данный стандарт заявила открытая площадка openbugbounty.org.

Стандарт ISO/IEC 29147:2014 содержит рекомендации по раскрытию уязвимостей в продуктах и online-сервисах. В нем подробно описаны методы, которые поставщик должен использовать для решения проблем, связанных с обнародованием информации об уязвимостях.

Согласно данному стандарту, при раскрытии уязвимостей следует придерживаться следующих принципов: обеспечить устранение выявленных уязвимостей; минимизировать риски, связанные с уязвимостью; предоставить достаточно информации для оценки рисков от уязвимостей; наладить коммуникацию и координировать действия между участвующими сторонами.

Политика ISO в отношении данного стандарта часто подвергалась критике, поскольку организации, изъявившие желание перейти на него, обязаны были заплатить за это. Однако в 2016 году требование было пересмотрено и стандарт стал полностью бесплатным.

Ранее о переходе на ISO 29147:2014 также заявила администрация платформ HackerOne и Bountyfactory.io.

С полной версией стандарта можно ознакомиться здесь .