Ich mochte die Antwort von DW so sehr, dass ich es ablehne, eine andere zu schreiben, aber ich hatte einige Punkte, die groß genug waren, dass ich sie hier leider wiederhole:
Wie mache ich - Informieren Sie sich so schnell wie möglich über eine Zero-Day-Sicherheitsanfälligkeit gegenüber meiner Anwendung, ohne irrelevante Benachrichtigungen erhalten zu müssen?
Gehen Sie so nah wie möglich an die Quelle der Offenlegung von Sicherheitsanfälligkeiten heran und erkennen Sie diese wird nicht immer die gleiche Quelle sein. Dies muss eine Kombination aus einer besseren Informationsbeschaffung und einer einfachen Suche sein (was seine eigenen Auswirkungen auf Spam hat).
Gute Ideen sind: - einen offensichtlichen Weg auf Ihrer Website zu finden Fehler und Schwachstellen einschließen - Stellen Sie sicher, dass beim erneuten Packen durch ein anderes System Sicherheitslücken an Ihr Fehler- / Schwachstellen-Tracking-System gesendet werden. Sie werden wahrscheinlich diskutieren wollen, wie Probleme überprüft werden, bevor sie an Sie gesendet werden, aber Sie müssen sich darüber im Klaren sein, dass die größten Schwachstellen häufig in der Integration Ihres Systems in das größere System liegen Legen Sie keinen echten "Null-Tag" fest, da diese möglicherweise um Stunden oder Tage zurückbleiben, aber Sie möchten auf jeden Fall direkt von ihnen hören. - Sammeln Sie so viele Informationen wie möglich, die für potenzielle Produktschwachstellen relevant sind - Google Alerts - war eine großartige Idee. Ich bin mir sicher, dass es noch andere gibt.
Möglicherweise müssen Sie akzeptieren, dass irrelevante Informationen auf Sie zukommen - das Beste, was Sie tun können, ist, sie zu sortieren.
Denken Sie auch daran , dass nicht alle Schwachstellen von den Guten gefunden werden. Das Warten darauf, dass jemand anderes es findet, ist niemals der ideale Weg, um Schwachstellen zu finden. Wenn das Produkt wächst, sollten Sie eine Form der Sicherheitsüberprüfung einführen, einschließlich:
- Code-Sicherheitsanalyse - sowohl manuell als auch automatisiert.
- Stifttests
- unabhängige Überprüfung
Der Aufwand muss hier durch die Fehlerkosten ausgeglichen werden. Möglicherweise stellen Sie jedoch fest, dass die Kosten für das Auffinden und Reagieren auf eine öffentlich bekannt gewordene Sicherheitsanfälligkeit höher sind als für die Implementierung Ihrer eigenen Sicherheitsüberprüfung.
Wie kann ich herausfinden, wann Schwachstellendatenbanken Einträge für meine Anwendung erstellen?
Viele der Schwachstellendatenbanken verfügen über Streaming von Warnungen. Sie sollten in der Lage sein, sich anzumelden zu einem Stream und Filter oder erhalten Sie einen RSS-Feed und begrenzen Sie ihn mit Suchkriterien.
Wie kann ich - die Richtigkeit von Schwachstellen-Datenbankeinträgen in Bezug auf meine Anwendung sicherstellen?
Erstellen Sie zunächst eine Beziehung zu den Datenbankgruppen. Und machen Sie deutlich, wie Sie eine Beziehung zu Ihnen herstellen können, wenn eine Datenbankgruppe Kontakt aufnehmen möchte. CERT's Anleitung und dieser Artikel - sind großartige Ressourcen für Empfehlungen, aber der entscheidende Teil ist die Erkenntnis, dass sie nicht das Richtige finden, wenn sie Sie nicht erreichen können Antwort.
Und es ist ein wechselseitiger Prozess - Sie können Sie finden, aber auch Informationen veröffentlichen. Und wenn Sie veröffentlichen, geben Sie solide Antworten an. Als Entwickler von Lösungen habe ich zu viele Probleme mit Lösungsanbietern, die Informationen zu Sicherheitslücken bereitstellen, die so klingen, als hätten sie sich diese ausgedacht, um ohne tatsächliche Tests oder sachliche Informationen zu arbeiten. Listen Sie Dinge auf wie:
- Angaben zum Fix
- Einzelheiten zu den Tests, die zur Überprüfung des Fixes verwendet wurden
- Einzelheiten zu den Auswirkungen der Korrektur ( Gibt es eine Chance, dass sich etwas, auf das ich mich verlassen habe, ändert oder bricht?)
- allgemeine Zusammenfassung des Umfangs der Änderung - zum Beispiel "Korrektur an einer zugrunde liegenden Dienstprogrammfunktion vorgenommen", "Korrektur an einer spezifizierten Codebasis" Bei Verwendung für die XYZ-Interoperabilität sind die Auswirkungen außerhalb dieses Bereichs äußerst begrenzt. "
Und Details zu CVE oder anderen veröffentlichten Problemen, die Sie beheben möchten.
Stellen Sie es in so vielen Streams wie möglich bereit - E-Mail-Abonnement, Blog, Website usw. Sie möchten, dass dies auffindbar ist.
Und machen Sie Ihren Prozess bekannt. Kann ich damit rechnen, innerhalb von 24 Stunden eine Antwort zu erhalten, wenn ich eine Sicherheitslücke auf Ihrer Website einreiche? Wie bewerten Sie den Schweregrad? Was ist der Prozess zur Lösung? Wenn es sich um ein Produkt handelt, das in andere Lösungen integriert ist, wer führt die Interop-Tests durch?
Sie benötigen keine perfekten Metriken, sondern müssen in der Lage sein, diese zu erfüllen. Wenn Ihre Bearbeitungszeit 2 Wochen beträgt, teilen Sie dies den Benutzern mit.