La revelación constructiva (en inglés constructive vulnerability) es una política de revelación parcial de vulnerabilidades propuesta por el University of Oulu Secure Programming Group (OUSPG)
El objetivo principal es producir una política de revelación que permita conseguir una herramienta de prueba de caja negra de vulnerabilidades que permita evaluar si los productos tienen esas vulnerabilidades. Esta herramienta permitiría detectar y por tanto eliminar la mayoría de las vulnerabilidades más triviales, evaluar la calidad de los productos y concienciar a los proveedores sobre la necesidad de no tener en sus productos ciertas vulnerabilidades.
Para ello se basa en la construcción y liberación de un conjunto de pruebas que detectan vulnerabilidades. Al aplicar este conjunto de pruebas tanto los proveedores como los clientes pueden evaluar en cierto grado la vulnerabilidad de los sistemas y poder hacer comparaciones entre distintos productos competidores. El conjunto de pruebas debería ser liberado bajo la licencia pública como GPL, sin coste. De esta forma cualquiera podría utilizarlas.
Esos test podrían ser reaprovechados usándolos en pruebas de regresión de los futuros productos evitando la reaparición de vulnerabilidades.
Fases implicadas en el modelo:
Escribe un comentario o lo que quieras sobre Revelación constructiva (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)