La Coordinated Vulnerability Disclosure (CVD, già nota come Responsible Disclosure) è il processo mediante il quale un ricercatore di sicurezza che scopre una vulnerabilità informatica la comunica privatamente al vendor del prodotto affetto prima di renderla pubblica, concedendogli un periodo ragionevole per sviluppare e distribuire una patch. Il processo trasforma una zero-day — vulnerabilità priva di patch — in una vulnerabilità con rimedio disponibile al momento della divulgazione pubblica.
Il processo standard
Scoperta: il ricercatore identifica una vulnerabilità nel prodotto di un vendor. Può essere un ricercatore indipendente, un membro del team di sicurezza di un’azienda, o un partecipante a un programma di bug bounty.
Segnalazione privata: il ricercatore contatta il vendor tramite il canale di sicurezza dedicato (security@vendor.com, pagina dedicata, piattaforma bug bounty). La segnalazione include: descrizione della vulnerabilità, proof-of-concept (PoC), sistemi affetti, impatto stimato.
Periodo di coordinamento: il vendor conferma la ricezione, analizza la vulnerabilità, assegna un CVE ID, sviluppa la patch e pianifica il rilascio. Il periodo standard è 90 giorni — introdotto come norma da Google Project Zero nel 2014, ora ampiamente accettato come benchmark del settore.
Divulgazione pubblica: alla scadenza del termine (o prima, se la patch è pronta), la vulnerabilità viene divulgata pubblicamente con tutti i dettagli tecnici, il CVE ID e le indicazioni per la mitigazione.
Varianti del processo
Full Disclosure immediata: il ricercatore pubblica tutti i dettagli senza preavviso al vendor. Massimizza la pressione sul vendor e informa immediatamente la comunità, ma espone gli utenti prima che esista una patch. Controversa, praticata raramente.
No Disclosure (Silenzioso): il ricercatore non divulga mai la vulnerabilità pubblicamente — la vende a un broker o la usa privatamente. Lascia tutti gli utenti vulnerabili indefinitamente.
Bug Bounty Program: i vendor formalizzano il CVD in un programma strutturato con ricompense economiche (da centinaia a milioni di dollari per vulnerabilità critiche) per incentivare i ricercatori a segnalare invece di vendere. Piattaforme: HackerOne, Bugcrowd, Intigriti. La combinazione di ricompensa economica, regole chiare e tempistiche definite ha reso i bug bounty il meccanismo di CVD più efficace per attirare ricercatori.
La regola dei 90 giorni
Il termine di 90 giorni introdotto da Google Project Zero è diventato lo standard de facto. La logica è: 90 giorni sono sufficienti per sviluppare una patch anche per vulnerabilità complesse; scaduto il termine, la divulgazione avviene anche in assenza di patch — creando un incentivo forte per i vendor a non procrastinare. Eccezioni: vulnerabilità con patch già rilasciate (divulgazione immediata), vulnerabilità attivamente sfruttate in natura (deadline accorciata a 7 giorni per urgenza massima).
ISO/IEC 29147 e 30111
Le best practice internazionali per la CVD sono formalizzate in due standard ISO:
- ISO/IEC 29147 (Vulnerability disclosure): linee guida per i vendor su come ricevere e gestire le segnalazioni di vulnerabilità.
- ISO/IEC 30111 (Vulnerability handling processes): linee guida interne per i vendor su come investigare, correggere e comunicare le vulnerabilità.