Het Britse National Cyber Security Center (NCSC) heeft vandaag de Vulnerability Disclosure Toolkit gelanceerd, een document dat onderzoekers en organisaties moet helpen bij het ontvangen en afhandelen van bugmeldingen (pdf). Volgens het NCSC worden er continu kwetsbaarheden ontdekt en willen mensen die bij de betreffende organisatie rapporteren, zodat die het probleem kan verhelpen.

Door adequaat op meldingen te reageren kan het aantal kwetsbaarheden in producten en diensten worden verminderd. Wanneer organisaties niet de mogelijkheid geven om beveiligingslekken te rapporteren, bestaat er een kans dat onderzoekers hun bevindingen meteen openbaar maken, wat tot reputatieschade kan leiden, zo merkt het NCSC op. Daarnaast kan de geopenbaarde informatie aanvallers helpen om systemen te compromitteren.

De nu gelanceerde Vulnerability Disclosure Toolkit, gebaseerd op de eigen ervaringen van het NCSC, omschrijft een proces hoe onderzoekers en organisaties met bumeldingen kunnen omgaan. Hierbij staan drie zaken centraal: communicatie, beleid en het bestand security.txt. Zo moeten organisaties over een apart webformulier of e-mailadres beschikken, zodat meldingen over kwetsbaarheden bij de juiste persoon terechtkomen.

Door het opstellen van een duidelijk beleid kan een organisatie laten weten wat ze van onderzoekers verwachten en hoe ze op gemelde kwetsbaarheden zullen reageren. Als derde en laatste punt pleit het NCSC voor het gebruik van het bestand security.txt. Het gaat om een bestandje waarmee organisaties en websites kunnen aangeven hoe onderzoekers gevonden kwetsbaarheden kunnen rapporteren.

Volgens de bedenkers van security.text beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Het bestand security.txt moet dit voorkomen. Er is een voorstel ingediend bij de Internet Engineering Task Force (IETF) ingediend waardoor het straks mogelijk een internetstandaard wordt. Google is één van de partijen die al van security.txt gebruikmaakt. De bedenkers van het voorstel lanceerden de website securitytxt.org, waarmee het mogelijk is om een dergelijk tekstbestand te genereren.

Het NCSC erkent dat de toolkit geen alomvattend antwoord op vulnerability disclosure is, maar dat het organisaties kan helpen om een dergelijk proces op te zetten. Het Nederlandse Nationaal Cyber Security Centrum (NCSC) voert al geruime tijd een beleid voor Coordinated Vulnerability Disclosure (CVD), waarin een soortgelijk proces wordt geboden.