Площадки Bug Bounty начали переходить на стандарт ISO по раскрытию уязвимостей
В стандарте задокументированы нормы, правила и рекомендации по публикации информации об обнаруженных уязвимостях.
Площадки программ по раскрытию уязвимостей начали переходить на стандарт, утвержденный Международной организацией по стандартизации (International Organization for Standardization, ISO) ISO 29147:2014, в котором задокументированы нормы, правила и рекомендации по публикации информации об обнаруженных уязвимостях. В частности, о переходе на данный стандарт заявила открытая площадка openbugbounty.org.
Стандарт ISO/IEC 29147:2014 содержит рекомендации по раскрытию уязвимостей в продуктах и online-сервисах. В нем подробно описаны методы, которые поставщик должен использовать для решения проблем, связанных с обнародованием информации об уязвимостях.
Согласно данному стандарту, при раскрытии уязвимостей следует придерживаться следующих принципов: обеспечить устранение выявленных уязвимостей; минимизировать риски, связанные с уязвимостью; предоставить достаточно информации для оценки рисков от уязвимостей; наладить коммуникацию и координировать действия между участвующими сторонами.
Политика ISO в отношении данного стандарта часто подвергалась критике, поскольку организации, изъявившие желание перейти на него, обязаны были заплатить за это. Однако в 2016 году требование было пересмотрено и стандарт стал полностью бесплатным.
Ранее о переходе на ISO 29147:2014 также заявила администрация платформ HackerOne и Bountyfactory.io.
С полной версией стандарта можно ознакомиться здесь .