VDP (Vulnerability Disclosure Policy)

Eine Vulnerability Disclosure Policy (VDP) definiert den strukturierten Prozess, über den Sicherheitsforscher und externe Meldende entdeckte Schwachstellen an eine Organisation berichten können, ohne rechtliche Konsequenzen befürchten zu müssen. CISA und BSI empfehlen öffentlichen Stellen, eine VDP zu veröffentlichen und Koordinierte Offenlegung (CVD) zu praktizieren, um Schwachstellen vor Bekanntgabe schließen zu können. In IT-Vergaben können Auftraggeber die Existenz und den Reifegrad einer VDP des Anbieters als Qualitätskriterium im Leistungsverzeichnis verankern.