EFF设置软件漏洞披露程序
电子前沿基金会(EFF)建立了软件漏洞披露计划,提供了指导方针和非现金奖励。
EFF是一家国际非营利性数字权利集团,建议安全研究人员,并帮助Facebook等组织来改善他们的错误报告政策。
该组的漏洞泄露程序包括一组关于如何在软件中报告ESF开发的错误的指南,例如随处HTTPS,让我们加密。
该组织表示,它邀请所有安全研究人员检查,分析和改善EFF产生的代码。
该程序还涵盖了EFF用于运行其站点和服务的软件,以及由EFF服务器上的软件的特定配置创建的漏洞。
作为一个非营利组织,EFF没有提供现金奖励,但该计划包括几个非现金奖励。这些包括在eff安全名人堂页面上的公共安全,如T恤和帽子,互惠成员资格等eff装备,游览EFF办公室的机会,迎接eff员工,以及对eff活动的免费门票。
该组织宣布该计划表示:“协调披露有助于我们将NSA [国家安全机构]剥削零天,如令人心碎的日子,并且随着致力于在尽可能使用和开发自由软件的组织,让我们了解错误将帮助我们与上游软件开发人员合作获得受影响的用户的修复。“
加入程序的EFF信息可在专用网页上获得。
根据安全公司Rapid7,信息安全社区和技术公司和其他软件开发人员之间需要更接触。
公司认识到负责任漏洞披露的重要性,但需要开放与非安全公司的沟通渠道,这可能具有挑战性。
通常,软件和其他技术公司从安全研究人员提供的第一次联系人涉及TOD Heardsley的安全工程管理器的漏洞披露。
“但这往往是在消极的灯光中被察觉,因为它就像安全社区中的某个人告诉他们他们的宝宝是丑陋的,”他每周告诉计算机在拉斯维加斯的泰基德23hacker会议上的网络上。
因此,安全研究人员必须非常仔细地管理第一次联系,并记住这是一种情绪化的话题,以确保所产生的关系是积极的。像eff一样,Rapid7正在与组织合作,帮助他们建立漏洞的进入过程并制定漏洞披露政策。