Teilnahme am CVE-Programm und das Censys Programm zur Offenlegung von Sicherheitslücken (Responsible Vulnerability Dislcosure Program)

Censys freut sich, bekannt zu geben, dass wir offiziell eine CVE Numbering Authority (CNA) sind. Als Teil des CVE-Programms plant Censys die Vergabe von CVE-Kennungen für Sicherheitsprobleme, die von unserem Forschungsteam entdeckt und gemeldet werden, sowie für alle Probleme, die in unseren Nicht-SaaS-Softwarekomponenten entdeckt werden. CVE ist ein internationales, gemeinschaftsbasiertes Projekt und stützt sich auf sein Netzwerk, um Schwachstellen zu entdecken. Die Schwachstellen werden entdeckt, zugewiesen und in der CVE-Liste veröffentlicht. Wir sind stolz darauf, an der Seite von Organisationen wie Microsoft, Adobe, Apple, Google, Cisco, Rapid7 und anderen zu stehen, die als CNAs teilnehmen.

Neben unserer CNA-Mitgliedschaft kündigen wir auch offiziell unser Programm zur Offenlegung von Sicherheitslücken an (oft mit dem Akronym VDP abgekürzt). Die Schritte zur Offenlegung von Schwachstellen in unserem Programm sind auf unserer Website beschrieben, die wir nachstehend als Referenz kopieren:

1. Censys wird jegliche Kommunikation über die Schwachstelle bis zum Abschluss des Offenlegungsprozesses vertraulich behandeln.
2. Censys wird versuchen, den entsprechenden Produktanbieter per E-Mail zu kontaktieren.
3. Censys wird die Details der Schwachstelle an den Anbieter weitergeben.
4. Wenn eine weitere Koordinierung erforderlich ist, sendet Censys innerhalb von 15 Tagen nach dem ersten Kontaktversuch mit dem Anbieter eine Mitteilung an CERT/CC.
5. Censys wird mindestens 60 Tage (maximal 90) nach den ersten Versuchen der Offenlegung in Stufe 2 einen Hinweis auf die Schwachstelle erstellen und veröffentlichen, sofern keine mildernden Umstände vorliegen. Dieser Hinweis wird der breiten Öffentlichkeit über den Blog Censysund die sozialen Medien zur Verfügung gestellt. Je nach Auswirkung kann sich Censys mit interessierten Parteien in den Medien abstimmen.

Bleiben Sie dran für weitere Informationen über Schwachstellen, die Censys im Laufe des Jahres entdeckt hat. Um mehr über die Forschung von Censys zu erfahren und einige unserer früheren Analysen zu Schwachstellen, deren Auswirkungen auf Unternehmen und die globale Cybersicherheit im Allgemeinen anzusehen, besuchen Sie https://censys.io/blog/.