Một nhóm nghiên cứu trong lĩnh vực an toàn thông tin, bao gồm: application security, web security, mobile security, device security, malware analysis,… tuy nhiên cũng không giới hạn hay loại trừ bất cứ chủ đề nào trong lĩnh vực an toàn thông tin.
Một trong những trọng tâm của FOSEC là nghiên cứu và phát hiện các lỗ hổng về an toàn thông tin trong các sản phẩm và dịch vụ của các tổ chức và doanh nghiệp. Từ đó, FOSEC hy vọng có thể cảnh báo cộng đồng về các rủi ro có thể gặp phải, hỗ trợ các doanh nghiệp, tổ chức khắc phục các nguy cơ, lỗ hổng nhằm hướng tới một môi trường kết nối an toàn hơn.
Bên cạnh việc tự nghiên cứu, FOSEC luôn chào đón và sẵn sàng tiếp nhận các nghiên cứu tương tự từ các cá nhân hay tổ chức khác. FOSEC sẽ có trách nhiệm xác minh tính đúng đắn về kỹ thuật của các cảnh báo và thông tin rõ ràng về tác giả, tổ chức cung cấp thông tin trên website chính thức của FOSEC (ngoại trừ trường hợp tác giả yêu cầu không công bố).
Để việc công bố các thông tin là phù hợp và thực sự hữu ích cho cộng đồng cũng như các tổ chức, doanh nghiệp, FOSEC đề ra một số quy tắc làm việc như sau:
- Sau khi phát hiện ra các lỗ hổng, rủi ro mất an toàn thông tin của các sản phẩm, dịch vụ, FOSEC sẽ gửi đi một cảnh báo về lỗ hổng đến các doanh nghiệp, tổ chức là chủ sở hữu các sản phẩm dịch vụ này. Thông tin cảnh báo được gửi theo kênh email. Email của các tổ chức được FOSEC xác định dựa vào thông tin mà tổ chức đó cung cấp trên các kênh chính thức như website hoặc từ một nguồn tin cậy thứ 3.
- Sau 10 ngày nếu không có bất cứ phản hồi gì từ phía tổ chức, doanh nghiệp hoặc có phản hồi nhưng với tính chất phủ định, hoặc xác định không thực hiện vá lỗi, FOSEC sẽ công bố thông tin các lỗ hổng, cũng như phương án giảm thiểu các nguy cơ đến cộng đồng, nhằm giúp cộng đồng ý thức được và giảm bớt các rủi ro mất an toàn thông tin.
- Trường hợp các tổ chức, doanh nghiệp sau khi nhận cảnh báo có phản hồi và thống nhất về việc vá lỗi, FOSEC sẽ công bố thông tin về lỗ hổng sau 30 ngày kể từ lúc gửi cảnh báo lần đầu tiên (không phụ thuộc vào tình trạng vá lỗi của tổ chức). FOSEC chọn thời gian 30 ngày vì chúng tôi tin rằng đây là khoảng thời gian phù hợp để các tổ chức, doanh nghiệp có thể khắc phục lỗi với các nguy cơ mà FOSEC công bố. Và chúng tôi tin rằng minh bạch thông tin về lỗ hổng là cách tốt nhất để bảo vệ cộng đồng.
* Lưu ý: thông tin về ngày ở đây không phân biệt, ngày thường, ngày đi làm, hay nghỉ lễ.
Mặc dù đề ra nguyên tắc chung như vậy, nhưng FOSEC hiểu rằng sẽ có những trường hợp vá lỗi thực sự phức tạp. Trong trường hợp đó, nếu như nhận thấy một sự tích cực, cũng như tinh thần trách nhiệm cao đối với cộng đồng, người sử dụng từ các tổ chức chức, doanh nghiệp, FOSEC sẵn sàng làm việc chi tiết và chặt chẽ với các tổ chức, doanh nghiệp để thống nhất lộ trình công bố thông tin phù hợp. Tất cả trường hợp ngoại lệ này sẽ được thông tin một cách trong sáng, chính thức trên website của FOSEC.
FOSEC TEAM
