RFPolicy

La política de revelación RFPolicy es una política de revelación parcial de vulnerabilidades creada a finales del año 2000 por Rain Forest Puppy.

No puede ser catalogado como una revelación responsable porque no se pronuncia en si cuando se revela la información se pueden incluir información detallada o exploits. Sin embargo si tiene componentes habituales de la política de revelación responsable.

Descripción

La política se podría resumir con los siguientes puntos:

• Después del contacto inicial con el proveedor se dan 5 días para permitir la respuesta del proveedor.
• Si el tiempo termina sin que el proveedor responda se procede, con una revelación pública de la vulnerabilidad.
• Si el proveedor responde entonces se le dan al proveedor otros 5 días de plazo.
• De forma similar el originador, si lo considera apropiado, va estableciendo turnos de periodos de 5 días hasta que:
  • Idealmente el proveedor arregle la vulnerabilidad y el originador pueda hacer una revelación pública.
  • Si el originador piensa que el proveedor no está trabajando adecuadamente sobre la vulnerabilidad y decide no dar un nuevo periodo de 5 días entonces revela de forma pública la vulnerabilidad.

Referencias

• Andrew Cencini et ali., "Software Vulnerabilities: Full-, Responsible-, and Non-Disclosure". Diciembre 2005
• Stephen A. Sheperd,"Vulnerability Disclosure. How do we define Responsible Disclosure?. SANS Institute. Abril 2003