Oznamovanie zraniteľností
Národné centrum kybernetickej bezpečnosti SK-CERT publikovalo „Návod na oznamovanie zraniteľností“.
Tento návod slúži ako pomôcka pre bezpečnostných výskumníkov, vývojárov softvéru, výrobcov hardvéru a zariadení, ale aj pre verejnosť. V návode sa uvádza podrobný postup a odporúčané kroky pri oznamovaní novo objavených zraniteľností, ale aj postup pri oznamovaní už existujúcich zraniteľností nájdených na prevádzkovaných systémoch a službách
Tento dokument vznikol s podporou Národného centra kybernetickej bezpečnosti Holandska, ktoré vydalo niekoľko dokumentov ku koordinovanému oznamovaniu zraniteľností. Tieto dokumenty sú dostupné na adrese:
Ak chcete oznámiť zraniteľnosť, prosím napíšte na e-mailovú adresu [email protected]. V oznámení uveďte najmä:
- na akom produkte sa zraniteľnosť nachádza,
- akým spôsobom ste sa o zraniteľnosti dozvedeli,
- kedy sa o zraniteľnosti dozvedeli,
- na akej verzii produktu sa zraniteľnosť nachádza, prípadne aká konfigurácia produktu je zraniteľná,
- hodnotenie zraniteľnosti (odporúčané je pomocou CVSS),
- čo najdetailnejší popis zraniteľnosti,
- spôsob, akým sa dá zraniteľnosť zneužiť (proof-of-concept),
- čo môže zraniteľnosť spôsobiť,
- či už ste zraniteľnosť nahlásili výrobcovi produktu,
- či už ste žiadali o pridelenie CVE čísla (Národné centrum kybernetickej bezpečnosti SK-CERT je CVE číslovacia autorita a môže požiadať o priradenie CVE),
- kontaktné informácie vrátane možností bezpečnej komunikácie (PGP fingerprint a pod.),
- iné dôležité informácie, súvisiace so zraniteľnosťou.
Pre zabezpečenú komunikáciu použite náš PGP verejný kľúč, uvedený v Kontaktoch.