OpenAI формализовала outbound disclosure: как компания сообщает о найденных уязвимостях в стороннем ПО.
Что это значит для веб-мастеров и команд:
— если используете сторонние CMS, плагины, CDN-интеграции, SDK и SaaS — уязвимости могут приходить не только из публичных CVE;
— важно держать понятный security.txt / abuse / security email, чтобы репорты не терялись;
— для WordPress и headless-стека: обновления плагинов, тем, npm-пакетов и self-hosted компонентов лучше не откладывать «до релиза»;
— для команд: заведите простой процесс triage — кто принимает репорт, кто проверяет, кто выкатывает фикс.
OpenAI заявляет, что политика нужна, чтобы ответственно сообщать об уязвимостях в стороннем ПО. Деталей по срокам раскрытия и процедурам в предоставленных фактах нет — смотрим первоисточник.
Источник: https://openai.com/index/scaling-coordinated-vulnerability-disclosure
Webmaster Stack — хостинг, CDN, безопасность
@webmaster_stack
OpenAI формализовала outbound disclosure: как компания сообщает о найденных уязвимостях в стороннем ПО.
Источники:
Этот пост опубликован в Telegram-канале Webmaster Stack — хостинг, CDN, безопасность. Подписаться можно по ссылке: @webmaster_stack.