Publicación responsable

En la siguiente sección iremos listando diversos documentos de interés para el manejo de publicación responsable de vulnerabilidades.

Es importante que, antes de hacer pública una vulnerabilidad se intente contactar con el CSIRT más afín a la institución que tenga la vulnerabilidad presente o, en caso que no lo haya, al CSIRT Nacional o a algún CSIRT con esa capacidad.

Esto con el objetivo de que la vulnerabilidad no vaya a ser explotada por terceros y dar tiempo al responsable del sistema o producto a corregir la vulnerabilidad.

Recomendaciones publicadas en sitio de ENISA:

https://www.enisa.europa.eu/news/member-states/WEB_115207_BrochureNCSC_EN_A4.pdf

Guía de SEI-CMU

https://resources.sei.cmu.edu/asset_files/SpecialReport/2017_003_001_503340.pdf

OWASP Cheat Sheet

https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html

IETF Vulnerability disclosure process

https://tools.ietf.org/html/draft-christey-wysopal-vuln-disclosure-00

ISO 29147:2018

https://www.iso.org/standard/72311.html

CSIRTs Ecuador