Características do Programa
Para que Programa de Reporte de Vulnerabilidades seja executado de forma bem sucedida e para permitir que todos os colaboradores tenham a mesma oportunidade de ganhar os prêmios propostos pela identificação e correção de vulnerabilidades é preciso que suas características sejam bem definidas e que todos os participantes às compreendam. Considerando isto, abaixo estão definidas as princpais características do VDP.
Identificação e reporte de vulnerabilidade
Qualquer colaborador cuja área de atuação interaja diretamente com as aplicações pode reportar uma vulnerabilidade dentro do VDP, ganhar pontos e concorrer aos prêmios propostos.
Fluxo de Reporte
Cada Work Item de reporte de uma vulnerabilidade possui 5 campos obrigatórios e 2 campos opcionais, estes campos devem ser preenchidos para fornecer as informações necessárias para o processo de triagem e validação das vulnerabilidades.
Obrigatórios:
Nome do Work Item; (Texto livre)
Produto vulnerável; (Lista de seleção)
(APP Sellin, Central Seller, Headless, Plataforma SER, Retire e Entrega, ZZ Content, ZZAPP, ZZLINK, ZZNET, ZZREPA, CommerceHub APP Qualidade)Tipo de vulnerabilidade; (Lista de seleção)
(HardCoded Credentials, IDOR, SQL Injection, Authentication and Authorization, Audit Logging, Excessive Data Exposure, Open Redirect, Vulnerable and Outdated Components, Cross-site Scripting, Improper Credential Usage, Insecure Data Storage, Inadequate Supply Chain Security, Security Issue, Outro, Não sei informar)Descrição da vulnerabilidade; (Texto livre)
Descrição de como reproduzir; (Texto livre)
Opcional:
Repositório em que a vulnerabilidade se encontra; (Texto livre)
Linha de código; (Texto livre)
Para realizar o reporte através do Formulário de Reporte de Vulnerabilidades, os colaboradores devem acessar o link do formulário e preencher os campos com as informações requeridas. Este instrumento necessita de menos informações para realizar o reporte e é focado em colaboradores fora da área de desenvolvimento de software.