Комментарии 6
Вот бы еще такую же шпаргалку, но по обычным багам... Их гораздо больше, чем багов по безопасности.
Может вам ещё и таску в вашем трекере завести? Выглядит так будто владелец продукта не заинтересован в устранение своих уязвимостей.
Зачем? Денег то не поимеешь с этого)
Живо напоминает инструкцию с канала Волга-Волга "Как безопасно сдаться в плен".
С практической точки зрения точки зрения все эти советы понятны и разумны. Но с этической стороны было бы уместно добавить в статью хотя бы пару строчек с осуждением тех практик, которые вызвали необходимость в приведенных мерах безопасности.
Или хотя бы ясного проговаривания что
1) ИТ-специалист не делает ничего предосудительного, проверяя безопасность программ и программных сервисов. Напротив, он оказывает обществу услугу. Да, коммерческого софта с закрытым кодом это тоже касается, причем в первую очередь.
2) Напротив, фирма предлагающая своим пользователям дырявый код, кругом виновата перед ними, и не только ними и, этически, находится не в том положении чтобы ставить какие-то еще условия.
Из заголовка создается впечатление, что автор шел по дороге и нашел 3 рубля эксплойт. А не сам его создал. Что с юридической точки зрения принципиально разные вещи.
Нужно было разобраться сначала, чем отличаются термины уязвимость, эксплойт, атака и инцидент. На всю статью ни слова про взаимодействие с БДУ ФСТЭК и CVE List.
Хотя у них есть четкие регламенты по порядку и срокам раскрытия информации об уязвимостях.
Особенно доставили "случаи, требующие национальной координации".
Что делать, когда нашел эксплойт: шпаргалка, как помочь владельцу решения