Wird eine Sicherheitslücke in der Linux-Welt gefunden, wäre das Vorgehen, die Schwachstelle zu melden...
Dann werden Patches erstellt und CVEs veröffentlicht.
Ich bin neugierig, wie das Melden von Open-Source-Schwachstellen in der OSX-Welt funktioniert. Geben die Entwickler CVEs frei, wenn sie auf ein Sicherheitsproblem aufmerksam gemacht werden?
Sie können Apple diesbezüglich unter product-security@apple.com kontaktieren (oder Sie können einen Radar-Bericht öffnen, wenn Sie ein Entwickler sind), oder Sie wenden sich an den Betreuer des Pakets.
Oft sind die Mailadressen in der README (oder AUTHORS) des Quellcodes oder auf der Website des Projekts zu finden.
Ja – sowohl Apple (insbesondere) als auch die Open-Source-Entwickler (im Allgemeinen) beziehen sich in Patch- und Sicherheits-E-Mails auf CVE und beteiligen sich an der Nutzung dieses Mechanismus zur Verfolgung gemeldeter Schwachstellen.
Die offizielle Sicherheitshaltung von Apple ist Apple Product Security .
Aber ich würde sagen, dass Sie Schwachstellen am besten über den Apple Bug Reporter und ihre Produktsicherheits-E-Mail-Adresse melden würden. Wenn es sich bei dem Teil mit der Schwachstelle um ein Open-Source-Projekt handelt, sollten Sie außerdem auch das Open-Source-Projekt benachrichtigen.
Das Verfahren zum Melden von Sicherheitslücken ist unterschiedlich, aber die Meldestelle wäre direkt beim Open-Source-Projekt. Wenn die Anwendung im App Store gehostet wird, können Sie Apple direkt Bericht erstatten.
Fahrrad