Skip to main content.

Traducción de apartes de http://www.securityfocus.com/archive/1/description#0.1.6

¿Qué es apertura total?

Es una filosofia de seguridad que cree:

  1. Un sistema verdaderamente seguro debe poder resistir la revisión abierta a todos los niveles (e.g. protocolos, código fuente, etc).
  2. Los detalles de las vulnerabilidades de seguridad deben estar disponibles para todos.

Los beneficios incluyen:

  1. Gran cantidad de individuos revisan el sistema en busca de debilidades de seguridad.
  2. Se presiona a los vendedores para que provean soluciones pronto
  3. Programadores y diseñadores de sistemas pueden aprender de los errores de otros
  4. Los usuarios pueden identificar vulnerabilidad similares en sistemas diferentes al original

Las desventajas incluyen:

  1. A la vez que informa a gente constructiva de las vulnerabilidades de seguridad, también informa a la genete destructiva.

¿Qué es seguridad por medio de oscuridad?</h1>

Seguridad por medio de oscuridad es una filosofia que cree:

  1. Que si los detalles de un sistema no se hacen públicos el sistema será más seguro.
  2. Que los detalles de vulnerabilidades deben restringirse a vendedores y a unos pocos expertos de seguridad.

¿Cual es el protocolo apropiado para reportar una vulnerabilidad de seguridad?

Un protocolo sensible para seguir mientras se reporta una vulnerabilidad de seguridad es:

  1. Contactar al venededor del producto o al mantenedor y darle un periodo de una semana para responder. Si no responde publicar en la lista.
  2. Si escucha del vendedor, dele lo que usted considere tiempo apropiado para solucionar la vulnerabilidad. Esto dependerá de la vulnerabilidad y del producto. Es su decisión hacer un estimado. Si no responden a tiempo publique en la lista.
  3. Si lo contactan pidiendo más tiempo, considere extender el plazo de buena fe. Si continuamente fallan en darle un plazo publique a la lista.

¿Cuando es recomendable publicar en la lista sin contactar al vendedor?

  1. Cuando el producto ya no es soportado activamente.
  2. Cuando cree que la vulnerabilidad está siendo explotada activamente y el no informar a la comuniad tan pronto como se aposible causaría más daño que bien.

Dicho todo esto, preferimos tener gente que reporte vulnerabilidades en la lista sin informar a los vendedores, sean cuales sean sus razones, a que guarden la información para si mismas.

¿Que debe incluirse en un reporte de vulnerabilidad?

  1. Una lista de aplicaciones vulnerables/sistemas operativos/dispositivos/etc con números de versión y niveles de parcheo
  2. Una lista de aplicaciones no vulnerables/sistemas operativos/dispositivos/etc con números de versión y níveles de parcheo.
  3. Una discusión detallada de la vulnerabilidad y el ambiente en el que fue encontrada
  4. Una discusión detallada de como reproducir la vulnerabilidad, posibilimente incluyendo programas para explotarla.
  5. Una discusión detallada de soluciones, arreglos o posibles soluciones temporales.
  6. Referencias a información relacionada con la vulnerabilidad.
  7. Crédito apropiado si la vulnerabilidad fue encontrada por alguien más.
Subpages:
· Apertura Total