Vultron
1.0.0
Vultron ist ein Forschungsprojekt zur Erforschung der Schaffung eines föderierten, dezentralen und Open-Source-Protokolls für die koordinierte Offenlegung von Sicherheitslücken (CVD). Es ist aus der jahrzehntelangen Erfahrung des CERT/CC bei der Koordinierung der globalen Reaktion auf Softwareschwachstellen entstanden. Das Ziel besteht darin, ein Protokoll zu erstellen, das von jeder Organisation verwendet werden kann, um die Offenlegung von Schwachstellen in Informationsverarbeitungssystemen (Software, Hardware, Dienste usw.) zu koordinieren und eine Community für die Interoperabilität unabhängiger Organisationsprozesse und -richtlinien aufzubauen, die dies kann zusammenarbeiten, um angemessene Reaktionen auf Schwachstellen zu koordinieren.
Vultron ist eine Sammlung von Ideen, Modellen, Code und laufenden Arbeiten und ist noch nicht für den Produktionseinsatz bereit.
Vultron ist eine Fortsetzung der Arbeit des CERT/CC zur Verbesserung der Koordinierung der Offenlegung und Reaktion auf Schwachstellen. Zu unseren bisherigen Arbeiten in diesem Bereich gehören:
Der CERT-Leitfaden zur koordinierten Offenlegung von Sicherheitslücken (Version 1.0, Version 2.0)
Priorisierung der Schwachstellenreaktion: Eine Stakeholder-spezifische Schwachstellenkategorisierung (SSVC) (Version 1.0, Version 2.0, Github)
The Vulnerability Information and Coordination Environment (VINCE) (Blogbeitrag, Github)
Eine Vielzahl verwandter Forschungsarbeiten, darunter
In jüngerer Zeit hat das CERT/CC daran gearbeitet, dieses Wissen in einem Protokoll für CVD zu formalisieren. Diese Arbeit begann mit A State-Based Model for Multi-Party Coordinated Vulnerability Disclosure (MPCVD), das in gekürzter Form auch unter dem Titel Are We Skillful or Just Lucky? erschien. Interpretation der möglichen Historie der Offenlegung von Sicherheitslücken im ACM Journal Digital Threats: Forschung und Praxis . Im Jahr 2022 haben wir eine Sammlung von User Stories zur koordinierten Offenlegung von Sicherheitslücken veröffentlicht, die sowohl aus unserer Prozessmodellierungsarbeit als auch aus den Erfahrungen beim Aufbau von VINCE stammen. Im selben Jahr veröffentlichten wir Designing Vultron: A Protocol for Multi-Party Coordinated Vulnerability Disclosure (MPCVD), das als Grundlage für die in diesem Repository enthaltene Arbeit dient.
Vultron ist:
Die oben genannten Punkte wurden ursprünglich alle im Bericht „Designing Vultron: A Protocol for Multi-Party Coordinated Vulnerability Disclosure“ (MPCVD) beschrieben.
In diesem Repository unternehmen wir die ersten Schritte zur Implementierung des in diesem Bericht beschriebenen Protokolls und der Verhaltenslogik. Derzeit konzentriert sich die Arbeit auf die Abbildung des formalen Protokolls auf die Syntax und Semantik des ActivityPub-Protokolls. Beispiele unserer ersten Schritte in diese Richtung finden Sie in doc/examples
Vultron ist kein Ersatz für irgendein bestimmtes Produkt
Stattdessen hoffen wir, dass Vultron als Verkehrssprache für den Austausch von Informationen zur Koordinierung von Schwachstellenfällen zwischen diesen Systemen und Diensten dienen kann.
Vultron ist kein Tool zur Priorisierung von Schwachstellen, obwohl es mit gängigen Priorisierungsschemata wie SSVC und CVSS kompatibel sein soll.
Vultron ist nicht als Produkt gedacht, sondern vielmehr als Funktionssatz, der in einer Vielzahl von CVD-bezogenen Produkten und Diensten implementiert werden kann, um die Interoperabilität zwischen ihnen zu ermöglichen.
Weitere Informationen zu unserer Arbeit bei der Modellierung, Formalisierung und Beschreibung des CVD-Prozesses finden Sie unter:
Wir arbeiten immer noch am richtigen Lizenzmodell für diesen Aufwand, aber vorerst unterliegt dieses Repository der beigefügten Urheberrechtserklärung.
Wenn Sie Feedback zu diesem Thema haben (einschließlich der Frage, ob das Urheberrecht/die Lizenz Ihnen Schwierigkeiten bereitet, mit uns an diesem Projekt zusammenzuarbeiten), teilen Sie uns dies bitte in einem Problem mit.
