OPR-005-Responsible-Disclosure
脆弱性の開示 (Vulnerability Disclosure)
| ID |
|---|
DSOVS-OPR-005 |
概要
責任ある開示とはセキュリティ脆弱性をソフトウェアベンダーに報告して、公開される前にその問題に対処する機会を与えることです。
脆弱性が迅速かつ効率的に対処され、潜在的な悪意のある悪用を防ぐことができます。
セキュリティ上の弱点を悪用される前に開発者が積極的に対処できるため、責任ある開示はセキュアなソフトウェア開発にとって重要です。
また、アプリケーションをセキュアに維持することで、潜在的な攻撃からユーザーを保護します。
レベル 0 - 脆弱性開示ポリシーがない
このレベルでのセキュリティ成熟度では、セキュリティ脆弱性を受け取る方法が定義されていません。
レベル 1 - 脆弱性開示ポリシーが存在する
レベル 1 では、製品に責任ある開示ポリシーが定義されており、脆弱性レポートの送信方法に関する明確な指示やスコープの明確な定義が示されています。
通常、これは (security@company.com) などのセキュリティ電子メールであり、内部チームによって手作業で処理されます。
レベル 2 - 脆弱性開示はソフトウェアを使用して管理および追跡している
責任ある脆弱性開示により、外部のセキュリティ研究者はソフトウェアで発見した脆弱性を報告できます。
これらの脆弱性は内部で発見された脆弱性と同じ方法で保存および追跡して、ギャップをすり抜けないようにすることが重要です。
これによりすべての問題が適切に管理され、外部ソースから報告された脆弱性がセキュアソフトウェア開発ライフサイクルに組み込まれるようになります。
課題追跡ソフトウェアでこれらの問題を適切に追跡及び管理することにより、開発者は潜在的なセキュリティ脅威に迅速かつ効率的に対処するようにできます。
これによりアプリケーションがセキュアであり続け、ユーザーが使用しているソフトウェアを信頼できるようになります。
レベル 3 - 協調的脆弱性開示プログラムが存在する
協調的脆弱性開示プログラムはセキュアソフトウェア開発ライフサイクルの成熟に不可欠です。
このプログラムはソフトウェアで発見された脆弱性が迅速かつ効率的に対処されるようにすると同時に、ソフトウェアユーザーと開発者の間の信頼関係を構築するのにも役立ちます。
脆弱性開示のための組織的かつ標準化されたフレームワークを提供することにより、企業はセキュリティへの取り組みを示し、プロセスに関する透明性を提供できます。
さらに、他の組織と連携することで、企業は他の組織の専門知識や知識から利益を得ることができます。これによりすべての脆弱性が適切に管理され、セキュアソフトウェア開発が優先されることが確保されます。
注目すべきツール
⚠️ 免責事項
OWASP の公式プロジェクトは別として、このセクションのツールはその実績のある機能のみに基づいて選択されており、DSOVS プロジェクトリーダーとそれらを保守する作成者やベンダーとの間には他の関係はありません。
注目すべきツールの提案がある場合には 💡 ツールを提案 してください。
security.txt はウェブサイトがセキュリティポリシーを定義する方法を提供します。security.txt ファイルはセキュリティ研究者がセキュリティ問題を報告するための明確なガイドラインを設定します。security.txt は robots.txt と同等ですが、セキュリティ問題のためのものです。
🙏 クレジット
コミュニティへの素晴らしい貢献なしにはこれを実現できませんでした。使用された外部からのインスピレーションに感謝の意を表します。
Last updated