¿Cómo puedo informar sobre vulnerabilidades de security para aplicaciones OSX de código abierto?

En caso de encontrar una vulnerabilidad de security en el mundo de Linux, el procedimiento involucrado sería reportar la vulnerabilidad …

  • … a los desarrolladores o los mantenedores del package en un sistema operativo particular.
  • … al equipo de security de ese sistema operativo particular.

Entonces se hacen los remiendos y los CVE se sueltan.

  • Cómo habilitar el intercambio de pantalla OS X (VNC) a través de SSH?
  • ¿Cómo evitar que la aplicación lanzada en Terminal de salir indeseablemente?
  • ¿Cómo se puede agregar una carpeta personalizada de la unidad iCloud a la barra lateral Favoritos del Finder?
  • ¿Cómo puedo extender el time cuando system.log se convierte?
  • ¿Hay una manera de arreglar la animation de conmutación de espacio lento en Yosemite?
  • ¿Por qué la comprobación de la actualización de software de OS X tarda tanto?
  • Tengo curiosidad acerca de cómo funcionan los informes de vulnerabilidades de código abierto en el mundo OSX. ¿Los desarrolladores lanzan CVE's si un problema de security es llevado a su conocimiento?

  • Cambio entre aplicaciones en OS X
  • Hover no sigue el ratón hasta que haga clic
  • ¿Por qué la versión de Java verificada por Oracle difiere de la versión mostrada en la command-line?
  • Mac se renombra automáticamente - el nombre de host es incorrecto en el terminal
  • ¿Es posible habilitar la sustitución de text del keyboard OSX en más aplicaciones?
  • ¿Qué es un buen visor / editor de XML para Mac OS X?
  • 3 Solutions collect form web for “¿Cómo puedo informar sobre vulnerabilidades de security para aplicaciones OSX de código abierto?”

    Puede ponerse en contacto con Apple acerca de esto en product-security@apple.com (o puede abrir un informe de Radar si es un desarrollador) o puede ponerse en contacto con el responsable del package.
    A menudo, las direcciones de correo pueden encontrarse en el README (o AUTORES) del código fuente o en el website del proyecto.

    Sí, tanto Apple (específicamente) como los desarrolladores de código abierto (en general) hacen reference a CVE en correos electrónicos de parches y de security y participan usando ese mecanismo para rastrear vulnerabilidades reportadas.

    La postura de security oficial de Apple es Apple Product Security .

    Pero yo diría que lo mejor sería presentar vulnerabilidades a través de Apple Bug Reporter y su dirección de correo electrónico de security de producto. Además, si la parte con la vulnerabilidad es un proyecto de código abierto, también debe notificar el proyecto de código abierto también.

    El procedimiento para informar vulnerabilidades de security varía, pero el lugar para informar sería directamente al proyecto de código abierto. Si la aplicación está alojada en la tienda de aplicaciones, puede reportar directamente a Apple.

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).