Responsible Disclosure ve CVE Atama Süreci

Responsible disclosure, güvenlik zafiyetlerinin üreticiye özel olarak bildirilmesi ve yama yayınlandıktan sonra kamuoyuyla paylaşılması sürecidir. 90-day disclosure policy, üreticiye zafiyeti düzeltmek için makul süre tanır; süre sonunda yama yayınlanmazsa public disclosure yapılır. CVE (Common Vulnerabilities and Exposures), her zafiyete unique identifier atar ve sektör standardı referans sistemidir. CNA (CVE Numbering Authority), belirli vendor'lar veya araştırma grupları için CVE atama yetkisine sahiptir. CVSS (Common Vulnerability Scoring System), zafiyet ciddiyetini 0-10 arası puanlar; base, temporal ve environmental metrikleri içerir. Exploit-db ve NVD, zafiyet detaylarını ve exploit kodlarını barındırır.