微軟日前宣布，將對(duì)此前“負(fù)責(zé)任的漏洞披露（Responsible Disclosure）”方式進(jìn)行調(diào)整，采用新的漏洞披露方式，從而能夠?qū)α闳章┒刺峁└訁f(xié)調(diào)一致的響應(yīng)。

這一新的漏洞披露方式被稱為“協(xié)調(diào)的漏洞披露（Coordinated Vulnerability Disclosure，CVD）”，與微軟負(fù)責(zé)任的漏洞披露政策相比變化不大。CVD政策將敦促安全研究人員向軟件供應(yīng)商或美國(guó)計(jì)算機(jī)應(yīng)急準(zhǔn)備小組報(bào)告發(fā)現(xiàn)的安全漏洞。根據(jù)CVD政策的規(guī)定，軟件供應(yīng)商和安全研究人員將會(huì)就漏洞修復(fù)期限達(dá)成一致。微軟負(fù)責(zé)可信計(jì)算安全業(yè)務(wù)的總經(jīng)理Matt Thomlinson在微軟安全響應(yīng)中心的博客中表示，公司將努力使漏洞披露過(guò)程盡可能的透明。

Thomlinson指出，“責(zé)任當(dāng)然依舊重要，但這應(yīng)該是由安全研究人員、安全產(chǎn)品供應(yīng)商和其他軟件供應(yīng)商組成的整個(gè)社區(qū)的共同責(zé)任。在提高計(jì)算生態(tài)系統(tǒng)的總體安全性方面，安全社區(qū)的每個(gè)成員都應(yīng)發(fā)揮自己的作用?！?/P>

不久前，谷歌的安全研究人員Tavis Ormandy公開(kāi)披露了Windows XP中存在的零日漏洞，并發(fā)布了針對(duì)該漏洞的概念驗(yàn)證代碼。隨后，微軟宣布了這一新的漏洞披露方式。幾天前，微軟發(fā)表聲明警告說(shuō)，其已經(jīng)檢測(cè)到試圖針對(duì)該漏洞的惡意攻擊。

Thomlinson表示，微軟和其他軟件制造商有責(zé)任與報(bào)告該漏洞的安全研究人員進(jìn)行溝通。軟件制造商承諾將提供及時(shí)更新并確定預(yù)定解決日期。另外，Thomlinson還指出，遵守這一新的漏洞披露政策的安全研究人員可以提前發(fā)布包含有限細(xì)節(jié)的安全公告，但不應(yīng)該提供概念驗(yàn)證代碼。

Thomlinson在博客中寫到，“軟件供應(yīng)商和漏洞發(fā)現(xiàn)者需要密切協(xié)作以修復(fù)漏洞；應(yīng)該進(jìn)行廣泛的努力，以及時(shí)對(duì)安全漏洞做出響應(yīng)；一旦主動(dòng)攻擊被公開(kāi)披露，最好的對(duì)策應(yīng)該是集中力量減少攻擊帶來(lái)的危害和提出暫時(shí)性解決方案——即使那樣，軟件供應(yīng)商和漏洞發(fā)現(xiàn)者仍然應(yīng)該盡可能地協(xié)調(diào)一致?！?/P>

安全研究人員如是說(shuō)

盡管微軟新的漏洞披露方式獲得了一些專家的支持，但也有研究人員聲稱，新政策不會(huì)對(duì)漏洞報(bào)告方式產(chǎn)生太大影響。

漏洞管理公司Rapid7的首席安全官、安全漏洞檢測(cè)工具M(jìn)etasploit的滲透測(cè)試框架總設(shè)計(jì)師、安全研究社區(qū)的長(zhǎng)期擁護(hù)者H.D. Moore認(rèn)為，微軟的聲明不過(guò)是“試圖控制關(guān)于負(fù)責(zé)任的漏洞披露的爭(zhēng)論”。Moore指出，微軟新的漏洞披露政策仍然沒(méi)有什么效力。漏洞發(fā)現(xiàn)者最終有權(quán)決定是公開(kāi)披露一個(gè)漏洞，還是悄悄將其報(bào)告給軟件供應(yīng)商。

Moore表示，“微軟值得稱道的地方在于其承認(rèn)漏洞的存在，但在及時(shí)修復(fù)漏洞方面做的還不夠好。微軟似乎并未承認(rèn)供應(yīng)商不遵守這些規(guī)定。而供應(yīng)商從來(lái)都沒(méi)有遵守過(guò)這些規(guī)定?！?/P>

Moore強(qiáng)調(diào)，軟件供應(yīng)商保持對(duì)漏洞披露的控制的唯一合法途徑是，與安全研究人員簽訂合同，通過(guò)某種形式的獎(jiǎng)勵(lì)計(jì)劃向漏洞發(fā)現(xiàn)者支付獎(jiǎng)金。

在一篇詳細(xì)介紹這一新的漏洞披露方式的博文中，微軟安全響應(yīng)中心生態(tài)系統(tǒng)策略團(tuán)隊(duì)的資深安全策略專家Katie Moussouris列出了一些支持這一理念變化的安全專家的評(píng)論。Moussouris指出，這一漏洞披露方式的改變是“對(duì)‘負(fù)責(zé)任的漏洞披露’的修正，為微軟和安全研究人員密切協(xié)作提供了一種預(yù)期和過(guò)程。即使在漏洞披露理念未能完全同步變化的情況下，各方在討論漏洞披露時(shí)也不必因使用一個(gè)容易讓人誤解的術(shù)語(yǔ)而產(chǎn)生歧義。”

非營(yíng)利性信息安全公共組織Open Security Foundation的總裁、安全監(jiān)控產(chǎn)品供應(yīng)商Tenable Network Security的Nessus安全漏洞掃描器專家Brian Martin表示，微軟新的漏洞披露方式試圖在一定程度上解決與“負(fù)責(zé)任的漏洞披露”有關(guān)的極端問(wèn)題，并使其內(nèi)部政策更加透明。

Martin說(shuō)，“關(guān)于負(fù)責(zé)任的漏洞披露的爭(zhēng)論由來(lái)已久，并可能繼續(xù)持續(xù)下去。我認(rèn)為，這一漏洞披露方式的改變并不意味著微軟希望控制所有的漏洞披露途徑，而是表明微軟將如何處理漏洞披露和修復(fù)問(wèn)題?！?/P>

獨(dú)立安全研究人員Dino Dai Zovi也對(duì)微軟這一漏洞披露方式的改變表示支持，并稱“負(fù)責(zé)任的漏洞披露”是一個(gè)有歧義的術(shù)語(yǔ)。微軟可能通過(guò)采取更加明確的漏洞修復(fù)期限或?yàn)槁┒窗l(fā)現(xiàn)者提供獎(jiǎng)金等方式，進(jìn)一步推動(dòng)這一漏洞披露方式的進(jìn)展。

Dai Zovi說(shuō)，“這決不意味著微軟嚴(yán)格定義的安全漏洞披露方式是不負(fù)責(zé)任的。微軟在安全漏洞方面所做的其他調(diào)整也具有積極意義，但在對(duì)安全研究人員友好性方面的政策還遠(yuǎn)遠(yuǎn)不如谷歌和Mozilla?！?/P>

Mozilla為發(fā)現(xiàn)其軟件中存在漏洞的研究人員提供最多達(dá)3000美元的獎(jiǎng)金。谷歌不但為發(fā)現(xiàn)其Chrome瀏覽器中存在漏洞的研究人員提供最多達(dá)3133美元的獎(jiǎng)金，同時(shí)承諾在60天內(nèi)修復(fù)漏洞。通過(guò)這些更為靈活的方式，谷歌和Mozilla主動(dòng)邀請(qǐng)研究人員向其報(bào)告漏洞。

安全評(píng)估機(jī)構(gòu)Independent Security Evaluators的研究人員Charlie Miller認(rèn)為，微軟的聲明是一個(gè)可喜的變化，但還有一些問(wèn)題沒(méi)有解決。例如，“微軟為什么不像谷歌和Mozilla那樣向漏洞發(fā)現(xiàn)者支付獎(jiǎng)金？難道微軟認(rèn)為其產(chǎn)品安全性的價(jià)值還抵不上支付給報(bào)告嚴(yán)重安全漏洞的研究人員的獎(jiǎng)金？另外，為什么微軟在發(fā)現(xiàn)安全漏洞時(shí)不能承諾60天內(nèi)完成修復(fù)？”

Miller在接受電話采訪時(shí)表示，通過(guò)與安全研究人員簽訂合同并向直接報(bào)告漏洞者支付獎(jiǎng)金，谷歌和Mozilla在一定程度上獲得了對(duì)漏洞披露的控制。他說(shuō)，“對(duì)我來(lái)說(shuō)，由于我已經(jīng)具有一定的知名度，在漏洞報(bào)告中署上我的名字沒(méi)有任何用處。因此，我可不愿花幾個(gè)星期的時(shí)間尋找并向微軟報(bào)告漏洞?！?/P>

【編輯推薦】

1. 微軟發(fā)布安全公告最嚴(yán)重漏洞被谷歌員工提前披露
2. 微軟警告：Windows XP的零日漏洞攻擊增加