La revelación constructiva (en inglés constructive vulnerability) es una política de revelación parcial de vulnerabilidades propuesta por el University of Oulu Secure Programming Group (OUSPG)[1]
Descripción
El objetivo principal es producir una política de revelación que permita conseguir una herramienta de prueba de caja negra de vulnerabilidades que permita evaluar si los productos tienen esas vulnerabilidades. Esta herramienta permitiría detectar y por tanto eliminar la mayoría de las vulnerabilidades más triviales, evaluar la calidad de los productos y concienciar a los proveedores sobre la necesidad de no tener en sus productos ciertas vulnerabilidades.
Para ello se basa en la construcción y liberación de un conjunto de pruebas que detectan vulnerabilidades. Al aplicar este conjunto de pruebas tanto los proveedores como los clientes pueden evaluar en cierto grado la vulnerabilidad de los sistemas y poder hacer comparaciones entre distintos productos competidores. El conjunto de pruebas debería ser liberado bajo la licencia pública como GPL, sin coste. De esta forma cualquiera podría utilizarlas.
Esos test podrían ser reaprovechados usándolos en pruebas de regresión de los futuros productos evitando la reaparición de vulnerabilidades.
Fases
Fases implicadas en el modelo:
Fase de creación.- En esta fase se selecciona el área o áreas donde se va a poner el interés (sólo se evaluará la seguridad sobre estas áreas), se crea el material de test y se empaqueta. A continuación se prueban los distintos productos que implementan la funcionalidad que estamos tratando mediante el conjunto de prueba generado.
Fase de pre-release.- Se notifica a los respectivos proveedores de las vulnerabilidades descubiertas y se les distribuye los test de prueba para que puedan arreglar la funcionalidad requerida. Se establece un proceso de comunicación y coordinación de consultoría y construcción del arreglo (parche). Si es necesario se construyen exploits para motivar al proveedor y se le entregan de forma privada. A los proveedores afectados no se les revela información sobre lo que afecta a otros competidores. Se establece un periodo de gracia hasta pasar a la siguiente fase para dar tiempo a los proveedores para corregir sus vulnerabilidades.
Fase de release.- Se hace públic el conjunto de pruebas. Los detalles sobre cada proveedor se mantieneb en secreto y no se liberan exploits (no hay revelación completa). Sólo se libera el material que permite indicar las vulnerabilidades potenciales.
Referencias
Marko Laakso et ali., "Introducing constructive vulnerability disclosures". University of Oulu 2001
Datos:Q6106907
Enero 30, 2023
revelación, constructiva, revelación, constructiva, inglés, constructive, vulnerability, política, revelación, parcial, vulnerabilidades, propuesta, university, oulu, secure, programming, group, ouspg, descripción, editarel, objetivo, principal, producir, polí. La revelacion constructiva en ingles constructive vulnerability es una politica de revelacion parcial de vulnerabilidades propuesta por el University of Oulu Secure Programming Group OUSPG 1 Descripcion EditarEl objetivo principal es producir una politica de revelacion que permita conseguir una herramienta de prueba de caja negra de vulnerabilidades que permita evaluar si los productos tienen esas vulnerabilidades Esta herramienta permitiria detectar y por tanto eliminar la mayoria de las vulnerabilidades mas triviales evaluar la calidad de los productos y concienciar a los proveedores sobre la necesidad de no tener en sus productos ciertas vulnerabilidades Para ello se basa en la construccion y liberacion de un conjunto de pruebas que detectan vulnerabilidades Al aplicar este conjunto de pruebas tanto los proveedores como los clientes pueden evaluar en cierto grado la vulnerabilidad de los sistemas y poder hacer comparaciones entre distintos productos competidores El conjunto de pruebas deberia ser liberado bajo la licencia publica como GPL sin coste De esta forma cualquiera podria utilizarlas Esos test podrian ser reaprovechados usandolos en pruebas de regresion de los futuros productos evitando la reaparicion de vulnerabilidades Fases Editar Fases implicadas en el modelo Fase de creacion En esta fase se selecciona el area o areas donde se va a poner el interes solo se evaluara la seguridad sobre estas areas se crea el material de test y se empaqueta A continuacion se prueban los distintos productos que implementan la funcionalidad que estamos tratando mediante el conjunto de prueba generado Fase de pre release Se notifica a los respectivos proveedores de las vulnerabilidades descubiertas y se les distribuye los test de prueba para que puedan arreglar la funcionalidad requerida Se establece un proceso de comunicacion y coordinacion de consultoria y construccion del arreglo parche Si es necesario se construyen exploits para motivar al proveedor y se le entregan de forma privada A los proveedores afectados no se les revela informacion sobre lo que afecta a otros competidores Se establece un periodo de gracia hasta pasar a la siguiente fase para dar tiempo a los proveedores para corregir sus vulnerabilidades Fase de release Se hace public el conjunto de pruebas Los detalles sobre cada proveedor se mantieneb en secreto y no se liberan exploits no hay revelacion completa Solo se libera el material que permite indicar las vulnerabilidades potenciales Referencias Editar Marko Laakso et ali Introducing constructive vulnerability disclosures University of Oulu 2001 Datos Q6106907 Obtenido de https es wikipedia org w index php title Revelacion constructiva amp oldid 117725084, wikipedia, wiki, leyendo, leer, libro, biblioteca,
