Censys a le plaisir d'annoncer qu'elle est officiellement une autorité de numérotation CVE (CNA). Dans le cadre du programme CVE, Censys prévoit d'émettre des identifiants CVE pour les problèmes de sécurité découverts et signalés par notre équipe de recherche, ainsi que pour tout problème découvert dans nos composants logiciels non-SaaS. CVE est une initiative internationale et communautaire qui s'appuie sur son réseau pour découvrir des vulnérabilités. Les vulnérabilités sont découvertes, puis assignées et publiées sur la liste CVE. Nous sommes fiers d'être aux côtés d'organisations telles que Microsoft, Adobe, Apple, Google, Cisco, Rapid7 et d'autres qui participent en tant qu'ANC.
Parallèlement à notre adhésion à l'ANC, nous annonçons officiellement notre programme de divulgation responsable des vulnérabilités (souvent désigné par l'acronyme VDP). Les étapes de notre programme de divulgation responsable sont décrites sur notre site web et copiées ci-dessous à titre de référence :
- Censys gardera confidentielle toute communication concernant la vulnérabilité jusqu'à la fin de la procédure de divulgation.
- Censys tentera de contacter le vendeur du produit approprié par courrier électronique.
- Censys fournira les détails de la vulnérabilité au fournisseur.
- Si une coordination supplémentaire est nécessaire, Censys enverra une notification au CERT/CC dans les 15 jours suivant la première tentative de contact avec le vendeur.
- Censys préparera et publiera un avis détaillant la vulnérabilité au moins 60 jours (maximum 90) après les premières tentatives de divulgation à l'étape n° 2 ci-dessus, sauf circonstances atténuantes. Cet avis sera mis à la disposition du grand public via le blog Censyset les médias sociaux. En fonction de l'impact, Censys peut se coordonner avec les parties intéressées dans les médias.
Restez à l'écoute pour plus d'informations sur les vulnérabilités que les chercheurs de Censys ont découvertes tout au long de l'année. Pour en savoir plus sur les recherches Censys et consulter certaines de nos analyses antérieures sur les vulnérabilités, leur impact sur les organisations et la santé mondiale en matière de cybersécurité en général, visitez le site https://censys.io/blog/.