Introdução
O Programa de Reporte de Vulnerabilidades (VDP - vulnerability disclosure program) visa fornecer uma abordagem descentralizada e gamificada para identificar e corrigir vulnerabilidades de código existentes nas aplicações desenvolvidas. Sendo assim, o VDP servirá como insumo para o processo de gestão de vulnerabilidades.
A gestão de vulnerabilidades é um processo chave para o tratamento de riscos de segurança da informação que podem afetar as aplicações. Através da identificação, análise de impacto e classificação de vulnerabilidades, é possível ordená-las por sua respectiva prioridade, de modo a aplicar estratégias para correção ou mitigação das mesmas, reduzindo o nível de risco ao qual as aplicações estão expostas.
Objetivos
O Programa de Reporte de Vulnerabilidades possui os seguintes objetivos:
Disseminar uma forma de identificar e corrigir vulnerabilidades em código para as equipes de desenvolvimento.
Promover uma abordagem gamificada para a identificação e correção de vulnerabilidades em código.
Mitigar riscos que podem afetar as aplicações através da correção ou tratamento de vulnerabilidades em código.
Responsabilidades
Para que o Programa de Reporte de Vulnerabilidades possa ser executado de forma eficiente é preciso que todos os envolvidos compreendam quais são as suas responsabilidades e como elas afetam o programa em si. Com o objetivo de possibilitar isto, a matriz RACI abaixo exemplifica as etapas, papéis e responsabilidades dos participantes do VDP.
| Atividades | Equipe de AppSec | Gestão de Segurança | Desenvolvimento |
|---|---|---|---|
| Criação e manutenção do Programa | Responsável | Aprovador | Informado |
| Divulgação do Programa | Consultado | Responsável | Informado |
| Identificação e reporte da vulnerabilidade | Informado | Informado | Responsável |
| Validação da vulnerabilidade | Responsável | Informado | Informado |
| Triagem da vulnerabilidade | Responsável | Consultado | Informado |
| Registro formal da vulnerabilidade | Responsável | Consultado | Informado |
| Atribuição da pontuação pelo reporte | Responsável | Informado | Informado |
| Liberação da correção da vulnerabilidade | Consultado | Responsável | Informado |
| Correção da vulnerabilidade | Aprovador | Informado | Responsável |
| Validação da correção | Responsável | Informado | Informado |
| Atribuição da pontuação pela correção | Responsável | Informado | Informado |
| Entrega da premiação da rodada | Consultado | Responsável | Informado |