什么是应该公布的漏洞？

Question

考虑一个正在持续开发的开源项目。在开发过程中，在日常工作中，你偶尔会自己发现一些问题。还有您的库报告问题的用户。

如果要发布担保通知，应当考虑哪些缺陷？只有外行报告的那些？还是你自己发现的那些人？

是否有关于这个主题的参考资料/指南？

编辑:我不是问如何做一个负责任的披露，当我发现一个问题在另一个图书馆！问题的核心是，是否也应该在一份没有从外部报告但在您日常工作中在软件中发现的咨询中发布问题。

Answer 1

如果您的产品中存在漏洞，您的用户需要知道这一点，以便他们能够保护自己。谁发现了该漏洞与您的用户无关，所以它不应该影响您是否和如何将该漏洞传递给他们。

因此，如果您发布安全建议，不管是谁发现了该漏洞，都要这样做。

Answer 2

安全咨询通常由外部人员编写，以告知开发人员有关问题。然后，在经过一段时间后发布这些信息，以修复发现漏洞的人的声誉。

作为开发人员，您应该告知使用您的软件的人有关这些问题以及如何解决这些问题。您可以决定要发布多少信息。

有关于负责任披露的标准：

• ISO/IEC 29147:2014
• 互联网工程专责小组，这只是一个草案，但经常被使用