Programme de divulgation responsable

Introduction

Censys estime que la divulgation rapide et coordonnée des vulnérabilités est dans le meilleur intérêt du public et des parties concernées. Censys peut découvrir des vulnérabilités au cours des recherches effectuées par son équipe de recherche en matière de sécurité.

Lorsqu'une vulnérabilité est découverte dans les produits ou services d'un abonné de Censys, Censys divulguera en privé le problème à la partie concernée, dans le cadre du flux de travail du client concerné. Si une nouvelle vulnérabilité est découverte au cours d'une recherche sur la sécurité, Censys assurera la coordination avec le fournisseur et le CERT/CC si nécessaire, en utilisant le flux de travail décrit ci-dessous.

Processus de divulgation responsable

1. Censys gardera confidentielle toute communication concernant la vulnérabilité jusqu'à la fin de la procédure de divulgation.
2. Censys tentera de contacter le vendeur du produit approprié par courrier électronique.
3. Censys fournira les détails de la vulnérabilité au fournisseur.
4. Si une coordination supplémentaire est nécessaire, Censys enverra une notification au CERT/CC dans les 15 jours suivant la première tentative de contact avec le vendeur.
5. Censys préparera et publiera un avis détaillant la vulnérabilité au moins 60 jours (maximum 90) après les premières tentatives de divulgation à l'étape n° 2 ci-dessus, sauf circonstances atténuantes. Cet avis sera mis à la disposition du grand public via le blog Censyset les médias sociaux. En fonction de l'impact, Censys peut se coordonner avec les parties intéressées dans les médias.

Ressources complémentaires

Pour connaître les dernières nouvelles, les recherches et les développements de Censys en matière de sécurité, de recherche et de projets, consultez notre page de ressources et notre blog.