¿Cómo puedo informar las vulnerabilidades de seguridad para aplicaciones OSX de código abierto?

Question

¿Cómo puedo informar las vulnerabilidades de seguridad para aplicaciones OSX de código abierto?

#1 de jan.h (6 votos)
#2 de MrDaniel (2 votos)
#3 de Chris_O (1 votos)

6

En el caso de encontrar una vulnerabilidad de seguridad en el mundo de Linux, el procedimiento involucrado sería informar la vulnerabilidad ...

... a los desarrolladores o mantenedores del paquete en un sistema operativo en particular.
... al equipo de seguridad de ese sistema operativo en particular.

Luego se hacen los parches y se liberan los CVE.

Tengo curiosidad acerca de cómo funcionan los informes de vulnerabilidad de código abierto en el mundo OSX. ¿Los desarrolladores liberan CVE's si un problema de seguridad llega a su aviso?

macos security open-source bug

pregunta gentmatt 10.02.2012 - 08:30

3 respuestas

2

La postura de seguridad oficial de Apple es Seguridad de productos de Apple .

Pero diría que lo mejor sería enviar vulnerabilidades a través de Apple Bug Reporter y su dirección de correo electrónico de seguridad del producto. Además, si la parte con la vulnerabilidad es un proyecto de código abierto, también debe notificar al proyecto de código abierto.

respondido por el MrDaniel 10.02.2012 - 18:52

1

El procedimiento para reportar vulnerabilidades de seguridad varía, pero el lugar para informar sería directamente al proyecto de código abierto. Si la aplicación está alojada en la tienda de aplicaciones, puede informar directamente a Apple.

respondido por el Chris_O 10.02.2012 - 15:43

Lea otras preguntas en las etiquetas macos security open-source bug

¿Cuáles son las desventajas de obtener una distribución de teclado externo en una MacBook Pro? Canciones "no elegibles" de iCloud en dispositivos iOS

score 6 · Accepted Answer

Puede comunicarse con Apple sobre este tema en [email protected] (o puede abrir un informe de Radar si es un desarrollador), o puede ponerse en contacto con el responsable del paquete.
A menudo, las direcciones de correo electrónico se pueden encontrar en el archivo README (o AUTORES) del código fuente, o en el sitio web del proyecto.

Sí: tanto Apple (específicamente) como los desarrolladores de código abierto (en general) hacen referencia al CVE en los correos electrónicos de parches y seguridad y participan utilizando ese mecanismo para rastrear las vulnerabilidades informadas.