La política de revelación llamada revelación limitada, en inglés limited disclosure, es un tipo de revelación parcial de la información sobre vulnerabilidades que se caracteriza por:
En una fase inicial sólo un pequeño grupo de personas tienen acceso a todos los detalles de la vulnerabilidad (El originador, el proveedor del sistema de información y a veces un tercero que actúa a modo de coordinador).
Si por algún motivo (Ej. como ha ido evolucionando la comunicación con el proveedor, como lleva el proveedor la construcción del parche, por la aparición de exploits que aprovechan la vulnerabilidad) se decide publicar la información sobre la vulnerabilidad, sólo se describe superficialmente el fallo, sin incluir detalles técnicos completos.
Cuando el proveedor arregla totalmente el fallo entonces es cuando se pueden revelar todos los detalles sobre la vulnerabilidad.
A este tipo de política se le llama de revelación limitada porque limita la cantidad de información que se revela en primera instancia.
Un problema característico de este tipo de política es que, como no hay revelación completa con la que amenazar, el proveedor del sistema puede no estar suficientemente motivado y puede tardar demasiado en la publicación del arreglo a la vulnerabilidad o aplazarla indefinidamente.
Referencias
Andrew Cencini et ali., "Software Vulnerabilities: Full-, Responsible-, and Non-Disclosure". Diciembre 2005
Stephen A. Sheperd,"Vulnerability Disclosure. How do we define Responsible Disclosure?. SANS Institute. Abril 2003
Datos:Q2882590
Agosto 04, 2021
revelación, limitada, política, revelación, llamada, revelación, limitada, inglés, limited, disclosure, tipo, revelación, parcial, información, sobre, vulnerabilidades, caracteriza, fase, inicial, sólo, pequeño, grupo, personas, tienen, acceso, todos, detalles. La politica de revelacion llamada revelacion limitada en ingles limited disclosure es un tipo de revelacion parcial de la informacion sobre vulnerabilidades que se caracteriza por En una fase inicial solo un pequeno grupo de personas tienen acceso a todos los detalles de la vulnerabilidad El originador el proveedor del sistema de informacion y a veces un tercero que actua a modo de coordinador Si por algun motivo Ej como ha ido evolucionando la comunicacion con el proveedor como lleva el proveedor la construccion del parche por la aparicion de exploits que aprovechan la vulnerabilidad se decide publicar la informacion sobre la vulnerabilidad solo se describe superficialmente el fallo sin incluir detalles tecnicos completos Cuando el proveedor arregla totalmente el fallo entonces es cuando se pueden revelar todos los detalles sobre la vulnerabilidad A este tipo de politica se le llama de revelacion limitada porque limita la cantidad de informacion que se revela en primera instancia Un problema caracteristico de este tipo de politica es que como no hay revelacion completa con la que amenazar el proveedor del sistema puede no estar suficientemente motivado y puede tardar demasiado en la publicacion del arreglo a la vulnerabilidad o aplazarla indefinidamente Referencias EditarAndrew Cencini et ali Software Vulnerabilities Full Responsible and Non Disclosure Diciembre 2005 Stephen A Sheperd Vulnerability Disclosure How do we define Responsible Disclosure SANS Institute Abril 2003 Datos Q2882590Obtenido de https es wikipedia org w index php title Revelacion limitada amp oldid 117725077, wikipedia, wiki, leyendo, leer, libro, biblioteca,
