Forskning, security advisory, research policy

Forskning

Encripto AS engasjerer seg sterkt i sikker utvikling av programvare, og vi forsker for å oppdage trender, nye sårbarheter og bedre måter å redusere dem på. Vi vil være gode internettborgere og hjelpe programvarebransjen, enten du er leverandør eller bruker.

Alle potensielle sårbarheter funnet av Encripto AS vil derfor følge en prosedyre for ansvarlig avsløring. Dette gjelder uavhengig om sårbarheten er funnet ved aktiv forskning eller ved en tilfeldighet. Vårt mål er å balansere allmennhetens behov for å bli informert om sikkerhetsproblemer og leverandørenes behov for tid til å reagere effektivt.

Dette gir leverandører mulighet til å beskytte sine brukere og reparere sikkerhetsproblemer så fort som mulig, før ondsinnede brukere utnytter dem. Samtidig som at brukerne blir klar over hva slags risiko de utsettes for, og de vil få en sjanse til å beskytte seg.

Avsløring av sårbarheter relatert til ikke-kunder
Encripto AS vil aldri utlevere sårbarheter fra et prosjekt tilknyttet en kunde, da vi er forpliktet av taushetsavtaler i slike situasjoner.

Potensielle sårbarheter, som ikke tilhører et kundeprosjekt, vil bli ansvarlig avslørt. Encripto AS vil varsle leverandøren (eller eieren av den potensielle sårbare koden), og deretter vente opp til 60 dager før vi gjør detaljene i den potensielle sårbarheten tilgjengelig for allmennheten.

Tidsrommet vil gi leverandøren (eller eieren av den potensielle sårbare koden) nok tid til å implementere en patch eller løse problemet, og sikre at leverandøren tar slike potensielle sårbarheter på alvor. Tidsrommet kan utvides i situasjoner hvor leverandøren og Encripto AS ønsker å koordinere avsløringen av detaljene og en software fiks.

Open Source Software
Encripto AS vil også følge prosedyren for ansvarlig avsløring dersom vi oppdager en potensiell sårbarhet i open source prosjekter. Utviklingsteamet eller vedlikeholderen av prosjektet vil da bli varslet, og vi vil vente opp til 90 dager før vi gjør detaljene offentlige.

Dette burde være nok tid for å gjennomføre en fiks mot det potensielle sikkerhetsproblemet. Tidsrommet kan utvides i situasjoner hvor open source prosjektet og Encripto AS ønsker å koordinere avsløringen av detaljene og en software fiks.

Forskning – Høgskolen i Ålesund

Encripto samarbeider med Process Innovation Lab (PIL). PIL er en tverrfaglig forskningsgruppe på Høgskolen i Ålesund. Forskningsområdene er Holistic Enterprise Transformation Orchestration, informasjons- og kommunikasjonsteknologi, Risk Management, Applied Modelling, Lean og andre verktøy, teknikker, prinsipper og rutiner for å støtte prosessen for endring.