MyOpenVDP: Open-source web application to securely disclose vulnerabilities
2022/10/26 HelpNetSecurity — MyOpenVDP とは、誰もが自分の脆弱性開示ポリシー (VDP : Vulnerability Disclosure Policy) をホストできるようにするための、オープンソース・ソリューションのことである。この、YesWeHack により開発された Web アプリケーションは、GitHub 上で公開されている。
MyOpenVDP の仕組み
- あなたの Web サイトや製品にある脆弱性やバグを誰かが発見する。
- その人は、MyOpenVDP アプリにアクセスする。
- そして、脆弱性について説明する。
- その報告書はブラウザ上で暗号化される。
- あなたは電子メールでレポートを受け取る。
YesWehack の CEO である Guillaume Vassault Houlière は、「これまので数年間において、各種の国際機関や政府間機関が公共政策のテーマとして Vulnerability Disclosure Policy を推進してきた。そして、強力な政治的コミットメントを実現するために、活動を推進してきた」と、Help Net Security に語っている。
Houlière「さらに OECD は、デジタル経済におけるセキュリティ・ワーキング・グループにおいて、メンバー間で責任ある脆弱性処理を奨励するというトピックを推進してきた。CyAN Global Coalition to Protect Cyber Researchers も、ゼロデイ研究者たちのために、一貫した法的免責を推進する重要な一歩である。Cybersecurity Act/NIS Directive の更新/サイバー・レジリエンス法に関する、最近の全ての提案は、加盟国や民間組織が脆弱性の報告/検出/是正を容易にするために、VDP を設計/導入することを奨励している」とは結論付けている。
発見された脆弱性を、どのような手段で通知すればよいのかという、なかなか厄介な手続きを簡素化しようという試みです。それが、この MyOpenVDP のような形で整理されると、脆弱性の発見者による通知と受領に、明確なエビデンスが生じるので、とても良い方向へ向かうと思います。関連するポストとして、4月19日の「あなたが脆弱性を発見したとき:CVE 発行までの 4-Steps とは?」があります。また、その次に考えるべきこととして、6月30日の「バグバウンティ・プログラム市場の需要と供給:誰もが幸せになれない現状を考える」も、お薦めです。
IoT OT Security News 
You must be logged in to post a comment.