Beveiligingsonderzoekers die een kwetsbaarheid in software vinden en dit bij de leverancier willen melden krijgen vaak met allerlei afspraken, processen en partijen te maken. Om "Coordinated Vulnerability Disclosure" (CVD) gestroomlijnder te laten verlopen heeft het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit een nieuw protocol gelanceerd met de naam Vultron.
Het software-ecosysteem is de afgelopen jaren een stuk complexer geworden, waarbij vaak meerdere onderdelen en libraries betrokken zijn. Bij veel kwetsbaarheden spelen dan ook meerdere leveranciers een rol. Het Vultron-protocol kan in deze situatie een fundamentele rol spelen, aldus het CERT/CC. Vultron richt zich op drie pijlers: de workflow rondom het meldproces van de kwetsbaarheid, afspraken over het embargo voordat de kwetsbaarheid openbaar wordt gemaakt en de levenscyclus van de melding, zoals het inlichten van de leverancier, ontwikkeling en uitrol van een update en de omgang met exploits en aanvallen.
"Ons doel met het Vultron-protocol is om een verzameling relevante abstracties te bieden om de interne processen van een organisatie te vertalen naar een algemene workflow die coördinatie bevordert en de communicatie tussen de verschillende betrokkenen verbetert", zegt Allen Householder van het CERT/CC. Er is nog geen volledige implementatie van het protocol beschikbaar. Om Vultron verder te ontwikkelen is het CERT/CC dan ook erg benieuwd naar feedback.
Deze posting is gelocked. Reageren is niet meer mogelijk.