漏洞到底应该怎样披露 |
漏洞披露、漏洞奖励计划,甚至是漏洞市场营销已经成为整个安全生态环境的重要组成部分。但在漏洞披露机制及其产生的影响上,业界并没有统一和清晰的认识。漏洞细节披露益处和坏处孰重敦轻?漏洞奖励计划,它们合理吗? 目前漏洞提交大致有四种情形: 1. 不披露。如白帽子直接给各企业SRC提交的漏洞。 2. 部分披露。360的补天平台仅仅公布漏洞类型、影响程序,并不会公布漏洞利用的技术细节。 引用 3. 保护期披露。国内第三方漏洞提交平台乌云,在漏洞保护到期之后,才会披露详细的漏洞信息。 👆⛴🍓🅱🐙
4. 全面披露。有些研究人员为了出名,甚至是报复企业,而采取的一种极端披露方式。 有人认为,保护期披露应该是第一选择,因为毕竟漏洞披露的最终目标是产出更好更安全的代码。但问题是有些情况下,被发现的漏洞可能真的需要厂商做出重大改动和测试。于是,如果披露期较短,企业可能并未来得及修复。但披露期较长的话,一方面会纵容企业的懒惰,另一方面还可能导致漏洞被利用的风险加大,要知道时机是非常重要的,因为其他人也有机会在差不多的时间点上发现这个漏洞,或者野生的活跃漏洞利用一直在进行而且随时有可能被公之于众。 因此,如果采用保护期披露机制,一个考虑到漏洞影响、修复难度等因素的弹性披露机制是比较合理的选择。比如,谷歌的90天+2周。当企业在90天内未修复好漏洞时,如果保证在2周之内修复,则延长2周,否则90天到期之后即公开。 如果在通知了企业之后,出于各种原因企业选择沉默以逃避修复责任的话怎么办? 🤟🚐™🐕 有人认为,这种情况下全面披露就是出路。整个安全社区会判定此问题的严重性,而厂商则有望在压力之下迅速转变态度。但在漏洞得到修复前,用户则会处于风险之中。因此,最终符合终端用户利益的,还应该是厂商和安全研究员之间的精诚合作。 漏洞的影响不是任何一家机构可以定性的,其中涉及太多的影响场景与受害者群体等特殊情况。所以还原与理解漏洞的风险,就是要公开信息,让各种性质的用户群体都可以自己从中获取答案。整个过程中保持清晰通畅的沟通和对对方观点的相互尊重非常重要,过去曾经出现过两者之间沟通破裂恶性案例:漏洞严重性‘谈判’的影响导致了全面披露。 漏洞的价值如何体现? 虽然漏洞奖励计划越来越常见,但有时候奖金远远值不上漏洞的真实价值,研究人员常常认为漏洞挖掘而付出的时间和努力并没有物有所值。 的确,很多情况下奖励平台上漏洞的价值若与黑市相比可能不太“公平”。而且鉴于各种因素,这些数字可能永远不会平衡。有些研究人员虽然尝试直接与厂商取得联系,但想要到应得的奖励也许并不容易,因为漏洞或漏洞利用代码的价值很可能不被大多数厂商理解。这也是众多SRC兴起的一个重要原因,只有专业人员才能理解专业技术的真正价值所在。
帖子热度 1万 ℃
|
|
研表究明,汉字的序顺并不定一能影阅响读,比如当你看完这句话后,才发这现里的字全是都乱的。#375:
|
对于作为社会主义的打好男人,我你这样做对得起社会,对得起人民吗?我只想说4个字:请带上我!#379:
|