漏洞到底应该怎样披露
扫描二维码随身看资讯
使用手机 二维码应用 扫描右侧二维码,您可以
1. 在手机上细细品读~
2. 分享给您的微信好友或朋友圈~
漏洞到底应该怎样披露? 漏洞披露、漏洞奖励计划,甚至是漏洞市场营销已经成为整个安全生态环境的重要组成部分。但在漏洞披露机制及其产生的影响上,业界并没有统一和清晰的认识。漏洞细节披露益处和坏处孰重敦轻?这些漏洞奖励计划,是合理的吗?
目前漏洞提交大致有四种情形:
1. 不披露。如白帽子直接给各企业SRC提交的漏洞。
2. 部分披露。360的补天平台仅仅公布漏洞类型、影响程序,并不会公布漏洞利用的技术细节。360补天依据互联网协会规定的漏洞披露和处置公约选择了部分披露的方式,主要目的是为了保护企业的利益,因为大量的漏洞在保护期后依然无法得到很好的修复,导致被再次利用的情况非常普遍,同时我们也通过更多的现金奖励和大量厂商共同参与奖励的办法,给白帽子带来切实的利益。除此之外。我们还会通过其他方式如360安全播报定期发布最新安全技术文章帮助白帽子在不披露漏洞细节的情况得到能力的成长。
3. 保护期披露。国内第三方漏洞提交平台乌云,在漏洞保护到期之后,才会披露详细的漏洞信息。漏洞的良性通报过程,需要一个技术实力雄厚与健康发展的社区,漏洞细节的公开可以给这样的社区与人才提供充足的发展空间与“营养”,令行业获取到健康并可持续性发展的重要因素。此外,报告平台对漏洞细节的公开也是让大众监督的一种考虑,只有企业、平台与大众用户这种三角关系才是最稳定的,其信息真实性与可靠性也经得起长久的考验,才能得以在漏洞报告的道路上贡献更纯粹的价值。
4. 全面披露。有些研究人员为了出名,甚至是报复企业,而采取的一种极端披露方式。有人认为,保护期披露应该是第一选择,因为毕竟漏洞披露的最终目标是产出更好更安全的代码。但问题是有些情况下,被发现的漏洞可能真的需要厂商做出重大改动和测试。于是,如果披露期较短,企业可能并未来得及修复。但披露期较长的话,一方面会纵容企业的懒惰,另一方面还可能导致漏洞被利用的风险加大,要知道时机是非常重要的,因为其他人也有机会在差不多的时间点上发现这个漏洞,或者野生的活跃漏洞利用一直在进行而且随时有可能被公之于众。
因此,如果采用保护期披露机制,一个考虑到漏洞影响、修复难度等因素的弹性披露机制是比较合理的选择。比如,谷歌的90天+2周。当企业在90天内未修复好漏洞时,如果保证在2周之内修复,则延长2周,否则90天到期之后即公开。
如果在通知了企业之后,出于各种原因企业选择沉默以逃避修复责任的话怎么办?
有人认为,这种情况下全面披露就是出路。整个安全社区会判定此问题的严重性,而厂商则有望在压力之下迅速转变态度。但在漏洞得到修复前,用户则会处于风险之中。因此,最终符合终端用户利益的,还应该是厂商和安全研究员之间的精诚合作。
漏洞的影响不是任何一家机构可以定性的,其中涉及太多的影响场景与受害者群体等特殊情况。所以还原与理解漏洞的风险,就是要公开信息,让各种性质的用户群体都可以自己从中获取答案。整个过程中保持清晰通畅的沟通和对对方观点的相互尊重非常重要,过去曾经出现过两者之间沟通破裂恶性案例:漏洞严重性‘谈判’的影响导致了全面披露。
漏洞的价值如何体现?
虽然漏洞奖励计划越来越常见,但有时候奖金远远值不上漏洞的真实价值,研究人员常常认为漏洞挖掘而付出的时间和努力并没有物有所值。
的确,很多情况下奖励平台上漏洞的价值若与黑市相比可能不太“公平”。而且鉴于各种因素,这些数字可能永远不会平衡。有些研究人员虽然尝试直接与厂商取得联系,但想要到应得的奖励也许并不容易,因为漏洞或漏洞利用代码的价值很可能不被大多数厂商理解。这也是众多SRC兴起的一个重要原因,只有专业人员才能理解专业技术的真正价值所在。
- 如何提高高二学生语文成绩?四季课文原文
- 《机长的四季教训》原文
- 四季酒店集团区域副总裁:四季酒店集团业务增长超出预期。四季酒店集团在西南市场的规划布局,四季
- 中国的四个季节|北京中轴线上的冬天
- 华发四季(上海浦东)房产网站丨浦东华发四季欢迎您丨楼盘详情及户型图-四季
- 四时看新疆:看新疆追雪花:全面布局“山水”产业链新能源发展“提速”四时
- 鹿晗现身云南录制综艺节目《五哈》第四期。他穿着白色运动衫看起来非常帅气! 2023年12月14日
- 四季周周有赛事勾当 崇礼冬奥场馆今岁首年月步实现四时经营
- 四季公园四季公园(华发公园四季)首页网站珠海华发欢迎您楼盘详情户型价格
- 尽享山水四时美景。 《画山水》里的四时美景在哪里? 2023年12月8日四个季节
- 四个季节对应的月份
- 四季印象兰亭-苏州(四季印象兰亭)房产详情-房价-电话号码-社区环境
-
CVE-2015-3839漏洞能够使短信程序崩溃
研究人员在安卓系统中发现了两个新漏洞,它们可以破坏手机和平板
-
操控Bunitu僵尸网络的网络犯罪分子们可以感染代理服务器
操控Bunitu僵尸网络的网络犯罪分子们可以利用Bunitu僵尸网络来感
-
机场安检设备在黑客攻击面前不堪一击
现在,通过一台普通的笔记本电脑,黑客就可以入侵机场的安全网络了,机
-
DD4BC黑客组织用DDoS敲诈勒索比特币 近来活动加剧
自从去年9月以来,一个名字为DD4BC的黑客组织的攻击敲诈行为被曝光