Question 1

Che cos'è un vulnerability disclosure program?

Accepted Answer

Un Vulnerability Disclosure Program (VDP) è un processo formale e pubblicato che consente ai ricercatori di sicurezza di segnalare le vulnerabilità a un'organizzazione in modo sicuro e legale. Definisce lo scope, il canale di segnalazione e le condizioni di safe harbor che proteggono dalle azioni legali i ricercatori che agiscono in buona fede. In sostanza un VDP è una porta aperta che dice: se trovi un problema di sicurezza, ecco come comunicarcelo.

Question 2

Qual è la differenza tra un VDP e un bug bounty?

Accepted Answer

Un bug bounty paga ricompense in denaro per le vulnerabilità valide, mentre un Vulnerability Disclosure Program offre tipicamente un riconoscimento, come l'inserimento nella Hall of Fame o un ringraziamento, anziché del denaro. I bug bounty attirano grandi quantità di hunter in competizione tra loro, mentre i VDP hanno di solito molti meno partecipanti. Per i principianti, questa minore concorrenza rende spesso un VDP il posto più facile in cui ottenere la prima segnalazione valida.

Question 3

I VDP sono adatti ai principianti?

Accepted Answer

Sì. Poiché i VDP premiano con il riconoscimento anziché con il denaro, attirano molti meno hunter rispetto ai programmi retribuiti, il che significa tassi di duplicati più bassi e più spazio per testare in profondità. Un principiante può dedicare due settimane di lavoro mirato a un VDP con una piccola Hall of Fame e trovare realisticamente bug che su un programma retribuito affollato sarebbero stati presi all'istante. I VDP costruiscono inoltre il track record pubblico che porta al lavoro retribuito.

Question 4

Le organizzazioni sono obbligate ad avere un VDP?

Accepted Answer

Sempre più spesso sì, in determinati settori. Le agenzie civili federali statunitensi sono tenute a mantenere un VDP in base alla CISA Binding Operational Directive 20-01, e framework come ISO/IEC 29147 e 30111 stabiliscono la disclosure come standard riconosciuto. Molte normative e numerosi questionari di sicurezza dei clienti si aspettano ormai un canale di disclosure pubblicato, quindi i VDP stanno diventando un'aspettativa di base anziché un optional.

Question 5

Come trovo il VDP di un'azienda?

Accepted Answer

Comincia dal file security.txt all'indirizzo /.well-known/security.txt, pensato proprio per indirizzare i ricercatori al contatto per la disclosure. Controlla anche il footer del sito, una pagina /security o /responsible-disclosure e le principali piattaforme come HackerOne e Bugcrowd. I Google dork come inurl:security.txt o inurl:responsible-disclosure sono efficaci per scoprire programmi self-hosted con poca concorrenza.

	VDP	Bug Bounty
Ricompensa	Riconoscimento, Hall of Fame, swag	Denaro, suddiviso per livelli di severità
Concorrenza	Di solito bassa	Alta sui programmi popolari
Obiettivo principale	Un canale sicuro per ricevere le segnalazioni	Testing continuo e incentivato
Ideale per	Principianti, costruzione della reputazione	Hunter esperti, reddito

Blog

Guide alla carriera

Glossario

Certificazioni

Confronti

Strumenti

Autori

Formazione aziendale

Assumi i nostri talenti

Vulnerability Disclosure Program (VDP)

Perché è importante

Cosa contiene un VDP

VDP vs. Bug Bounty

Perché i principianti dovrebbero puntare prima ai VDP

Come insegniamo Vulnerability Disclosure Program (VDP)