Como eu denuncio vulnerabilidades de software encontradas em uma biblioteca de código aberto que são amplamente usadas, mas têm uma estrutura de equipe dilapidada?

5

Para a maioria dos projetos de código aberto, há uma equipe de projeto bem fundamentada e patrocínio corporativo, além de muitos colaboradores ativos. O procedimento para arquivar relatórios de bugs está claramente documentado.

No entanto, existem também alguns projetos de código aberto que existem há mais de 10 anos (talvez 15), e foram incluídos em todos os tipos de produtos gratuitos e comerciais (sistemas operacionais e distribuições linux, etc), e todos simplesmente acham que está correto, apesar de algumas partes em um estado de desespero e cheio de bugs.

Parece-me que os usuários reais (programadores no conhecimento) simplesmente escolhem usar a biblioteca de uma certa maneira para não acionar o bug. Poucos escolhem falar.

Existem também grandes empresas que corrigem os bugs silenciosamente (em seus próprios produtos) sem distribuir quaisquer patches. E use isso para sua vantagem comercial.

Não há desenvolvedor líder. Não há informações sobre quem são os desenvolvedores ativos, exceto que você pode navegar na lista de discussão e ver quem enviou os patches recentemente e assumir que eles podem conhecer alguém que seja útil.

Como devo lidar com um caso de vulnerabilidade, sem vazar informações de uma forma que forneça munição aos malfeitores?

Esta questão é um derivado de: link

    
por rwong 18.10.2010 / 07:13
fonte

4 respostas

5

Fale com a Secunia (ou qualquer um dos outros bancos de dados de bugs) e deixe-os lidar com isso.

Eles fazem isso diariamente, e provavelmente já têm um procedimento para se não conseguirem identificar um colaborador apropriado para um projeto.

(Eu diria, se não houver contatos para a biblioteca em si, eles entrariam em contato com grandes projetos que atualmente usam a biblioteca, permitindo que qualquer software comum conserte / solucione quaisquer problemas de segurança, antes de liberar detalhes para o público.)

    
por 18.10.2010 / 13:00
fonte
1

Para o (s) coordenador (es).

Se não houver informações claras, sugiro que você escolha um colaborador aleatório e pergunte quem está no comando.

Escolha outro colaborador até que você tenha uma resposta clara.

Em qualquer caso, envie os detalhes sobre o problema para cada pessoa que você entrar em contato.

    
por 18.10.2010 / 10:07
fonte
1

Se o projeto é de código aberto, não vejo problema em postar suas descobertas diretamente na lista de discussão. Particularmente, se você já tem um patch (mas mesmo se você não tiver). Se conseguisse dizer a alguém sobre isso "de forma privada", assim que eles fizessem a correção do repositório (que eu presumo que seja público também), todos saberiam de qualquer maneira.

    
por 18.10.2010 / 13:15
fonte
0

Relate o bug e se ninguém se importa, então clone o repositório no github e corrija o erro lá, e aponte para o repositório no relatório de bug original para que outros possam obter uma versão corrigida.

Lembre-se de mesclar o clone regularmente para pegar outras correções.

    
por 18.10.2010 / 13:17
fonte