Disclosure Policy
Gestiamo in maniera coordinata e responsabile la pubblicazione di nuove vulnerabilità per tutelare e migliorare la sicurezza degli utenti.
Obiettivo della disclosure policy
Unlock Security valuta e coordina la divulgazione delle vulnerabilità di sicurezza trovate durante le attività di ricerca. La seguente disclosure policy definisce le modalità e i tempi con cui avviene il contatto con il fornitore del software vulnerabile, fino al rilascio della patch e alla pubblicazione dei dettagli.
Primo contatto
Unlock Security avvisa prima di tutto il fornitore dell’esistenza di una nuova falla di sicurezza nel suo software, in modo responsabile e tempestivo. Il contatto iniziale avviene utilizzando tutti i contatti o i canali pubblici messi a disposizione dal fornitore, oppure inviando un’e-mail a security@, support@, info@ e secure@vendor.tld con i dettagli relativi al problema individuato. Se il fornitore non risponde alla comunicazione iniziale di Unlock Security entro 3 (tre) giorni lavorativi, viene inviata una seconda comunicazione utilizzando un contatto del fornitore diverso da quello utilizzato in precedenza, se disponibile.
A prescindere dai termini della seguente disclosure policy, contestualmente al primo contatto con il fornitore del software vulnerabile Unlock Security avvia la procedura per registrare una nuova CVE ID richiedendola al MITRE. Una volta assegnata, la CVE rimarrà riservata fino allo scadere dei termini definiti in “Scadenza”.
Scadenza
Al fornitore del software vulnerabile, vengono concessi 30 (trenta) giorni per produrre e rilasciare pubblicamente una patch per la vulnerabilità di sicurezza segnalata da Unlock Security, prorogabili in casi di elevata complessità, ma non oltre 120 (centoventi) giorni dalla prima comunicazione. Al termine del periodo di deadline, possono essere divulgati pubblicamente i dettagli della vulnerabilità nella pagina Advisory e sui canali social di Unlock Security.
Pubblicazione
Unlock Security divulga pubblicamente i dettagli delle vulnerabilità scoperte tramite bollettini ufficiali disponibili sulla pagina Advisory, non appena il fornitore del software vulnerabile ha reso disponibili adeguate patch di sicurezza.
Unlock Security potrebbe proporre nel bollettino di sicurezza un piano di mitigazione per consentire alla comunità di salvaguardare i dati degli utenti se il fornitore non risponde o non è in grado di fornire un’argomentazione ragionevole sul motivo per cui la vulnerabilità non è stata risolta entro la scadenza. Unlock Security divulgherà i dettagli sulle vulnerabilità risolte con un certo ritardo, a propria discrezione, per dare agli utenti interessati il tempo necessario per aggiornare i propri sistemi.
Alla public disclosure segue anche la pubblicazione della CVE ID assegnata dal MITRE.