Estudio sobre desarrolladores e investigadores de seguridad


Un nuevo estudio del Laboratorio de seguridad de GitHub proporciona información sobre la relación entre los desarrolladores y los investigadores de seguridad durante el proceso de divulgación de vulnerabilidades.

En diciembre de 2020, GitHub anunció que planea expandir su investigación para aprender más sobre la relación entre el desarrollador y las comunidades de investigación de seguridad. La relación entre desarrolladores e investigadores de seguridad se ha tensado en ocasiones en el pasado. Para comprender mejor esta dinámica, GitHub ha centrado su investigación en el proceso de divulgación de vulnerabilidades, donde ambas comunidades deben trabajar juntas para eliminar amenazas potenciales.

Actualmente no existe un proceso estándar para revelar vulnerabilidades a la comunidad de investigación de seguridad en general. En cambio, entidades como Project Zero de Google, GitHub Security Lab, Snyk, HackerOne y VuSec tienen sus propios procedimientos de divulgación de vulnerabilidades. En un sistema que carece de coherencia, comprender las relaciones entre los involucrados puede conducir a medidas más efectivas para remediar vulnerabilidades, lo que en última instancia conduce a un ecosistema más seguro y colaborativo.

El laboratorio de seguridad de GitHub realizó encuestas cualitativas entre los mantenedores de código abierto a través de una entrevista remota entre noviembre de 2020 y marzo de 2021.Los resultados informados se dividen en tres categorías:

  • Dinámica entre mantenedores e investigadores de seguridad: Los mantenedores que participaron en el estudio tenían poco o ningún contacto con la comunidad de investigación de seguridad más allá del proceso de divulgación de vulnerabilidades. Si bien las interacciones que tuvieron lugar pudieron ser positivas, muchos mantenedores encontraron que la comunidad de investigación de seguridad no era particularmente acogedora. Aun así, los mantenedores están abiertos a aprender información básica sobre la investigación de seguridad.
  • Preferencias de comunicación del mantenedor: cuando reciben informes de vulnerabilidades de seguridad, los mantenedores suelen experimentar una variedad de emociones, que incluyen miedo y estrés; sin embargo, están agradecidos por la retroalimentación constructiva que se les ha brindado a través de canales privados.
  • La percepción de los supervisores sobre el proceso de presentación de informes: Para determinar la gravedad de las denuncias recibidas, los supervisores manifestaron que primero evaluarían los efectos. No esperaban que los investigadores de seguridad ofrecieran consejos sobre cómo solucionar las vulnerabilidades, pero estaban agradecidos cuando se los ofrecieron. En general, los participantes se sintieron capaces de abordar las posibles vulnerabilidades dentro del plazo estándar de divulgación coordinada de 90 días.
El informe completo Encontraras aqui.

Source: com! professional by www.com-magazin.de.

*The article has been translated based on the content of com! professional by www.com-magazin.de. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!