漏洞到底应该怎样披露

　　漏洞披露、漏洞奖励计划，甚至是漏洞市场营销已经成为整个安全生态环境的重要组成部分。但在漏洞披露机制及其产生的影响上，业界并没有统一和清晰的认识。漏洞细节披露益处和坏处孰重敦轻？漏洞奖励计划，它们合理吗？

　　目前漏洞提交大致有四种情形：

　　1. 不披露。如白帽子直接给各企业SRC提交的漏洞。

　　2. 部分披露。360的补天平台仅仅公布漏洞类型、影响程序，并不会公布漏洞利用的技术细节。

　　3. 保护期披露。国内第三方漏洞提交平台乌云，在漏洞保护到期之后，才会披露详细的漏洞信息。

　　漏洞的良性通报过程，需要一个技术实力雄厚与健康发展的社区，漏洞细节的公开可以给这样的社区与人才提供充足的发展空间与“营养”，令行业获取到健康并可持续性发展的重要因素。此外，报告平台对漏洞细节的公开也是让大众监督的一种考虑，只有企业、平台与大众用户这种三角关系才是最稳定的，其信息真实性与可靠性也经得起长久的考验，才能得以在漏洞报告的道路上贡献更纯粹的价值。

　　4. 全面披露。有些研究人员为了出名，甚至是报复企业，而采取的一种极端披露方式。

　　有人认为，保护期披露应该是第一选择，因为毕竟漏洞披露的最终目标是产出更好更安全的代码。但问题是有些情况下，被发现的漏洞可能真的需要厂商做出重大改动和测试。于是，如果披露期较短，企业可能并未来得及修复。但披露期较长的话，一方面会纵容企业的懒惰，另一方面还可能导致漏洞被利用的风险加大，要知道时机是非常重要的，因为其他人也有机会在差不多的时间点上发现这个漏洞，或者野生的活跃漏洞利用一直在进行而且随时有可能被公之于众。

　　因此，如果采用保护期披露机制，一个考虑到漏洞影响、修复难度等因素的弹性披露机制是比较合理的选择。比如，谷歌的90天+2周。当企业在90天内未修复好漏洞时，如果保证在2周之内修复，则延长2周，否则90天到期之后即公开。

　　如果在通知了企业之后，出于各种原因企业选择沉默以逃避修复责任的话怎么办？

　　有人认为，这种情况下全面披露就是出路。整个安全社区会判定此问题的严重性，而厂商则有望在压力之下迅速转变态度。但在漏洞得到修复前，用户则会处于风险之中。因此，最终符合终端用户利益的，还应该是厂商和安全研究员之间的精诚合作。

　　漏洞的影响不是任何一家机构可以定性的，其中涉及太多的影响场景与受害者群体等特殊情况。所以还原与理解漏洞的风险，就是要公开信息，让各种性质的用户群体都可以自己从中获取答案。整个过程中保持清晰通畅的沟通和对对方观点的相互尊重非常重要，过去曾经出现过两者之间沟通破裂恶性案例：漏洞严重性‘谈判’的影响导致了全面披露。

漏洞的价值如何体现？

　　虽然漏洞奖励计划越来越常见，但有时候奖金远远值不上漏洞的真实价值，研究人员常常认为漏洞挖掘而付出的时间和努力并没有物有所值。

　　的确，很多情况下奖励平台上漏洞的价值若与黑市相比可能不太“公平”。而且鉴于各种因素，这些数字可能永远不会平衡。有些研究人员虽然尝试直接与厂商取得联系，但想要到应得的奖励也许并不容易，因为漏洞或漏洞利用代码的价值很可能不被大多数厂商理解。这也是众多SRC兴起的一个重要原因，只有专业人员才能理解专业技术的真正价值所在。