Revelación limitada
La política de revelación llamada revelación limitada, en inglés limited disclosure, es un tipo de revelación parcial de la información sobre vulnerabilidades que se caracteriza por:
- En una fase inicial sólo un pequeño grupo de personas tienen acceso a todos los detalles de la vulnerabilidad (El originador, el proveedor del sistema de información y a veces un tercero que actúa a modo de coordinador).
- Si por algún motivo (Ej. como ha ido evolucionando la comunicación con el proveedor, como lleva el proveedor la construcción del parche, por la aparición de exploits que aprovechan la vulnerabilidad) se decide publicar la información sobre la vulnerabilidad, sólo se describe superficialmente el fallo, sin incluir detalles técnicos completos.
- Cuando el proveedor arregla totalmente el fallo entonces es cuando se pueden revelar todos los detalles sobre la vulnerabilidad.
A este tipo de política se le llama de revelación limitada porque limita la cantidad de información que se revela en primera instancia.
Un problema característico de este tipo de política es que, como no hay revelación completa con la que amenazar, el proveedor del sistema puede no estar suficientemente motivado y puede tardar demasiado en la publicación del arreglo a la vulnerabilidad o aplazarla indefinidamente.
Referencias[editar]
- Andrew Cencini et ali., "Software Vulnerabilities: Full-, Responsible-, and Non-Disclosure". Diciembre 2005
- Stephen A. Sheperd,"Vulnerability Disclosure. How do we define Responsible Disclosure?. SANS Institute. Abril 2003
| Control de autoridades |
|
|---|
Datos: Q2882590