ondj
commented
2 years ago Změněno na 90 dní. Pevný limit považujeme za důležitý, protože obdobně k tomuto problému přistupují bezpečnostní výzkumníci (např. Google Project Zero):
Disclosure deadline of 90 days. If an issue remains unpatched after 90 days, technical details are published immediately.
@MikkCZ Je nová formulace ze vás takto lepší?
V O.5 a D.3 je zmiňován termín 30 dnů pro opravu bezpečnostních chyb. V O.3 je pak (sice jako příklad) 48 hodin pro odpověď na hlášení bezpečnostních chyb. Souhlasím s tím, že v případě bezpečnostních problémů je potřeba jednat rychle, ale nejsem si jistý, jestli je vhodně zde uvádět konkrétní termíny (nebo jsou dané vyhláškou?). Očekával bych spíše, aby vůbec nějaký postup pro řešení takových hlášení existoval a v rámci něj abych byl jako případný autor hlášení vhodně informován o průběhu a očekávaném termínu řešení, v závislosti na závažnosti nahlášené chyby. Podle konkrétní aplikace, způsobu jejího provozu a používání, a samozřejmě v závislosti na konkrétní chybě, může být 30 dnů nebezpečně dlouhá doba, nebo naopak zbytečně krutý požadavek.