Participación en el programa CVE y en el programa de descubrimiento responsable de vulnerabilidades Censys

Censys se complace en anunciar que somos oficialmente una CVE Numbering Authority (CNA). Como parte del programa CVE, Censys planea emitir identificadores CVE para problemas de seguridad descubiertos y reportados por nuestro equipo de investigación, así como cualquier problema descubierto en nuestros componentes de software no SaaS. CVE es un esfuerzo internacional basado en la comunidad y se basa en su red para descubrir vulnerabilidades. Las vulnerabilidades se descubren, se asignan y se publican en la lista CVE. Estamos orgullosos de estar junto a organizaciones como Microsoft, Adobe, Apple, Google, Cisco, Rapid7 y otras que participan como CNA.

Junto con nuestra afiliación a CNA, también estamos anunciando formalmente nuestro Programa de Divulgación Responsable de Vulnerabilidades (al que a menudo nos referimos utilizando las siglas VDP). Los pasos de divulgación responsable de nuestro programa se describen en nuestro sitio web, copiado a continuación como referencia:

1. Censys mantendrá la confidencialidad de cualquier comunicación relativa a la vulnerabilidad hasta que finalice el proceso de divulgación.
2. Censys intentará ponerse en contacto con el proveedor de productos adecuado por correo electrónico.
3. Censys proporcionará los detalles de la vulnerabilidad al proveedor.
4. Si es necesaria una mayor coordinación, Censys enviará una notificación al CERT/CC en un plazo de 15 días tras el primer intento de contacto con el proveedor.
5. Censys preparará y publicará un aviso detallando la vulnerabilidad al menos 60 días (máximo 90) después de los intentos iniciales de divulgación en la etapa #2 anterior, salvo circunstancias atenuantes. Este aviso se pondrá a disposición del público en general a través del blog de Censysy de las redes sociales. En función de la repercusión, Censys podrá coordinarse con las partes interesadas de los medios de comunicación.

Permanezca atento para obtener más información sobre las vulnerabilidades que la investigación de Censys ha descubierto a lo largo del año. Para saber más sobre la investigación de Censys y ver algunos de nuestros análisis anteriores sobre vulnerabilidades, su impacto en las organizaciones y la salud global de la ciberseguridad en general, visite https://censys.io/blog/.