Pierwsze zgłoszenie
Dziś zgłosiłem do CERT Polska swoją pierwszą podatność z wnioskiem o nadanie CVE. Podatność wykryłem podczas analizy kodu popularnego projektu open-source — nie będę zdradzał szczegółów do czasu zakończenia procesu koordynacji z producentem.
Czym jest responsible disclosure?
Responsible disclosure (odpowiedzialne ujawnianie) to zasada, zgodnie z którą odkrywca podatności:
- Zgłasza podatność bezpośrednio do producenta lub zaufanego pośrednika (jak CERT Polska)
- Daje producentowi rozsądny czas (zwykle 90 dni) na przygotowanie poprawki
- Dopiero po wydaniu poprawki lub upływie terminu ujawnia szczegóły publicznie
Celem jest ochrona użytkowników — szczegóły podatności nie trafiają do atakujących zanim producent zdąży naprawić problem.
Dlaczego CERT Polska?
CERT Polska (Computer Emergency Response Team Polska) to krajowy zespół reagowania na incydenty cyberbezpieczeństwa, działający przy NASK. Pełni rolę koordynatora w procesie responsible disclosure dla podatności dotyczących polskich organizacji lub popularnych projektów.
Co dalej?
Teraz czekam na potwierdzenie przyjęcia zgłoszenia i dalszą klasyfikację. Szczegóły techniczne opublikuję zgodnie z zasadami responsible disclosure — po zakończeniu koordynacji i wydaniu poprawki przez producenta.