Coordinated Vulnerability Disclosure: Best Practices

Coordinated vulnerability disclosure (CVD), zafiyet keşfi ve bildirimi için standartlaştırılmış süreçtir ve responsible disclosure ile benzerdir. Discovery aşamasında zafiyet doğrulanır, impact analizi yapılır ve PoC hazırlanır. Notification, üreticiye güvenli kanal (security@ email, bug bounty platform) üzerinden bildirilir ve makul yanıt süresi beklenir. Remediation, üretici ile işbirliği içinde yama geliştirilir ve test edilir. Public disclosure, yama yayınlandıktan sonra araştırma detayları paylaşılır; 90-120 gün standart süredir. ISO/IEC 29147, vulnerability disclosure için uluslararası standarttır ve organizasyonların nasıl yanıt vermesi gerektiğini tanımlar. CERT/CC, vulnerability coordination merkezi olarak araştırma topluluğuna destek sağlar.