Vultron
1.0.0
Vultron es un proyecto de investigación para explorar la creación de un protocolo federado, descentralizado y de código abierto para la divulgación coordinada de vulnerabilidades (CVD). Ha surgido de las décadas de experiencia del CERT/CC en la coordinación de la respuesta global a las vulnerabilidades del software. El objetivo es crear un protocolo que pueda ser utilizado por cualquier organización para coordinar la divulgación de vulnerabilidades en los sistemas de procesamiento de información (software, hardware, servicios, etc.) y construir una comunidad de interoperabilidad entre procesos y políticas de organizaciones independientes que puedan trabajar juntos para coordinar respuestas apropiadas a las vulnerabilidades.
Vultron es una colección de ideas, modelos, código y trabajo en progreso, y aún no está listo para su uso en producción.
Vultron es una continuación del trabajo del CERT/CC para mejorar la coordinación de la divulgación y respuesta a las vulnerabilidades. Nuestro trabajo previo en esta área incluye:
La Guía CERT para la divulgación coordinada de vulnerabilidades (Versión 1.0, Versión 2.0)
Priorización de la respuesta a la vulnerabilidad: una categorización de vulnerabilidad específica de las partes interesadas (SSVC) (Versión 1.0, Versión 2.0, github)
El entorno de coordinación e información de vulnerabilidades (VINCE) (publicación de blog, github)
Una variedad de investigaciones relacionadas, incluyendo
Más recientemente, el CERT/CC ha estado trabajando para formalizar este conocimiento en un protocolo para ECV. Este trabajo comenzó con Un modelo estatal para la divulgación coordinada de vulnerabilidades entre múltiples partes (MPCVD), que también apareció en forma abreviada como ¿Somos hábiles o simplemente afortunados? Interpretación de las posibles historias de divulgaciones de vulnerabilidades en la revista ACM Digital Threats: investigación y práctica . En 2022, publicamos una colección de historias de usuarios de divulgación coordinada de vulnerabilidades derivadas tanto de nuestro trabajo de modelado de procesos como de la experiencia de crear VINCE. Ese mismo año, publicamos Designing Vultron: A Protocol for Multi-Party Coordinated Vulnerability Disclosure (MPCVD), que sirve como base para el trabajo contenido en este repositorio.
Vultrón es:
Todo lo anterior se describió inicialmente en el informe Diseño de Vultron: un protocolo para la divulgación coordinada de vulnerabilidades entre múltiples partes (MPCVD).
En este repositorio, estamos dando los primeros pasos hacia la implementación del protocolo y la lógica de comportamiento descritos en ese informe. Actualmente, el trabajo se centra en mapear el protocolo formal en la sintaxis y semántica del protocolo ActivityPub. Se pueden encontrar ejemplos de nuestros primeros pasos en esa dirección en doc/examples
Vultron no es un sustituto directo de ningún
En cambio, esperamos que Vultron pueda servir como lengua franca para el intercambio de información de coordinación de casos de vulnerabilidad entre esos sistemas y servicios.
Vultron no es una herramienta de priorización de vulnerabilidades, aunque pretende ser compatible con esquemas de priorización comunes como SSVC y CVSS.
Vultron no pretende ser un producto, sino más bien un conjunto de funciones que se puede implementar en una variedad de productos y servicios relacionados con CVD para permitir la interoperabilidad entre ellos.
Para obtener más información sobre nuestro trabajo en el modelado, formalización y descripción del proceso de CVD, consulte:
Todavía estamos trabajando en el modelo de licencia correcto para este esfuerzo, pero por ahora, este repositorio está cubierto por la declaración de derechos de autor incluida.
Si tiene comentarios sobre este tema (incluido si los derechos de autor/licencia le están causando dificultades para colaborar con nosotros en este proyecto), háganoslo saber en un problema.
