Площадки Bug Bounty начали переходить на стандарт ISO по раскрытию уязвимостей

Площадки Bug Bounty начали переходить на стандарт ISO по раскрытию уязвимостей

В стандарте задокументированы нормы, правила и рекомендации по публикации информации об обнаруженных уязвимостях.

image

Площадки программ по раскрытию уязвимостей начали переходить на стандарт, утвержденный Международной организацией по стандартизации (International Organization for Standardization, ISO) ISO 29147:2014, в котором задокументированы нормы, правила и рекомендации по публикации информации об обнаруженных уязвимостях. В частности, о переходе на данный стандарт заявила открытая площадка openbugbounty.org.

Стандарт ISO/IEC 29147:2014 содержит рекомендации по раскрытию уязвимостей в продуктах и online-сервисах. В нем подробно описаны методы, которые поставщик должен использовать для решения проблем, связанных с обнародованием информации об уязвимостях.

Согласно данному стандарту, при раскрытии уязвимостей следует придерживаться следующих принципов: обеспечить устранение выявленных уязвимостей; минимизировать риски, связанные с уязвимостью; предоставить достаточно информации для оценки рисков от уязвимостей; наладить коммуникацию и координировать действия между участвующими сторонами.

Политика ISO в отношении данного стандарта часто подвергалась критике, поскольку организации, изъявившие желание перейти на него, обязаны были заплатить за это. Однако в 2016 году требование было пересмотрено и стандарт стал полностью бесплатным.

Ранее о переходе на ISO 29147:2014 также заявила администрация платформ HackerOne и Bountyfactory.io.

С полной версией стандарта можно ознакомиться здесь .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle