Softwarebedrijven doen er verstandig aan om kwetsbaarheden in hun producten niet stilletjes te patchen. Ook is het verstandig om niet met geheimhoudingsovereenkomsten (NDA's) te werken wanneer onderzoekers beveiligingslekken rapporteren. Dat stellen het Nationaal Cyber Security Centrum (NCSC), de Amerikaanse geheime dienst NSA, het Britse National Cyber Security Centre (NCSC), het Amerikaanse cyberagentschap CISA en het Japanse Computer Emergency Response Team Coordination Center (JPCERT-CC) in een gezamenlijk document (pdf) over Coordinated Vulnerability Disclosure (CVD).
In een CVD-programma kunnen organisaties beschrijven hoe er met gerapporteerde kwetsbaarheden wordt omgegaan, welke systemen of producten onderzoekers mogen testen en waar onderzoekers met bugmeldingen terecht kunnen. Volgens de overheidsdiensten moeten softwarebedrijven en andere partijen die een bugmelding ontvangen de security van hun klanten voorop stellen. Zo moet onderzoekers niet worden verboden om uiteindelijk over een kwetsbaarheid te publiceren. Ook NDA's en silent patchting worden afgeraden. Bij silent patching verhelpt een leverancier een kwetsbaarheid in een product, zonder hier ergens melding van te maken.
Softwarebedrijven moeten in hun CVD-programma ook laten weten wanneer ze gerapporteerde kwetsbaarheden verhelpen en richting klanten communiceren, of wanneer de onderzoeker die mag openbaren. Tevens krijgen softwarebedrijven het advies om gemelde beveiligingslekken ook daadwerkelijk te verhelpen en hiervoor CVE-nummers aan te vragen. Verder moet er duidelijk richting klanten over kwetsbaarheden worden gerapporteerd, waaronder impactscores, de oorzaak van het probleem en de noodzakelijke mitigatiemaatregelen die klanten kunnen nemen.
Softwareleveranciers kunnen ook overwegen om onderzoekers voor het melden van kwetsbaarheden te belonen of hun naam te noemen, zo staat verder in het document vermeld. Het Amerikaanse CISA stelt dat softwarebedrijven en andere organisaties door middel van een CVD-programma kunnen laten zien dat ze de security van hun klanten en gebruikers serieus nemen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.