根據(jù)監(jiān)督惠普TippingPointZDI零日計(jì)劃 (Zero Day Initiative)的漏洞研究人員表示，迅速崛起的零日漏洞二級市場和改進(jìn)的軟件編碼做法正在合力減少提交到惠普ZDI的漏洞數(shù)量。

雖然今年漏洞提交量似乎有所下降，惠普TippingPoint DVLabs管理人員Brian Gorenc堅(jiān)持認(rèn)為一群強(qiáng)有力的安全研究人員正向該計(jì)劃提交關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞。這種漏洞存在于廣泛使用的軟件中，包括Java、Adobe Reader、IE和Mozilla Firefox瀏覽器等。

“隨著軟件開發(fā)越來越成熟，漏洞提交量減少了一點(diǎn)點(diǎn)，但我們?nèi)匀粚Ｗ⒂陉P(guān)鍵軟件的漏洞，”Gorenc在接受SearchSecurity.com的采訪中表示，“這些漏洞可能造成大范圍的破壞，我們的重點(diǎn)工作就是解決這些漏洞。”在2010年，ZDI計(jì)劃創(chuàng)紀(jì)錄地收到300個(gè)漏洞，而去年提交量增加到350多個(gè)。在2012年，ZDI對其研究人員發(fā)現(xiàn)的公開披露的漏洞發(fā)表了187次公告。

零日計(jì)劃（ZDI）創(chuàng)建于2005年，對于嚴(yán)重漏洞，它將為研究人員提供5000美元的獎(jiǎng)勵(lì)。研究人員還可以通過其提交的每個(gè)漏洞來賺取積分，從而換取現(xiàn)金獎(jiǎng)金或者其他津貼?；萜彰磕赀€贊助比賽，為能夠展示可行漏洞的研究人員頒發(fā)現(xiàn)金獎(jiǎng)勵(lì)。參與該計(jì)劃的研究人員還可以利用其與軟件供應(yīng)商現(xiàn)有的關(guān)系，通過發(fā)現(xiàn)漏洞以及解決軟件漏洞而得到認(rèn)可。“這可以讓那些獨(dú)立研究人員專注于他們的工作，”Gorenc表示，“我們可以為他們當(dāng)中介，讓他們得到應(yīng)得的獎(jiǎng)賞。”

Gorenc說：“在解決不斷增長的零日漏洞二級市場方面，ZDI計(jì)劃并沒有預(yù)期的改變，我們不斷看到很多個(gè)人想要進(jìn)行安全研究，只想做自己的研究，并獲得相應(yīng)的獎(jiǎng)賞，”Gorenc表示，“零日計(jì)劃總是有其用武之地，我們將在2013年及以后繼續(xù)我們的工作。”

漏洞提交量的下降的部分原因在于谷歌、Mozilla、Facebook和PayPal也在運(yùn)行類似計(jì)劃，為私下向他們提交嚴(yán)重漏洞的研究人員給予獎(jiǎng)賞。安全公司（例如VUPEN）公開承認(rèn)他們向政府出售漏洞利用，一些公司還通過訂閱模式來出售漏洞利用信息。

Gorenc表示，這些軟件供應(yīng)商的計(jì)劃側(cè)重于特定產(chǎn)品，而ZDI計(jì)劃試圖解決整個(gè)軟件生態(tài)系統(tǒng)存在的漏洞。我們需要追蹤這些漏洞在整個(gè)系統(tǒng)的走向以及確定這些漏洞是否已被修復(fù)。“自ZDI計(jì)劃開展以來，我們負(fù)責(zé)任的披露政策一直運(yùn)作良好。我們直接與供應(yīng)商打交道，并且我們會確認(rèn)他們何時(shí)解決漏洞。”

一些安全專家對二級市場置之不理，因?yàn)樗麄冋J(rèn)為尚不確定其影響。加拿大Sophos高級安全顧問Chester Wisniewski表示，漏洞研究人員應(yīng)該得到應(yīng)得的報(bào)酬，但轉(zhuǎn)向灰色或者黑色市場是不對的。Wisniewski鄙視那些未將漏洞披露給軟件制造商的公司，認(rèn)為這種做法“不道德”和“不負(fù)責(zé)任。軟件供應(yīng)商應(yīng)該根據(jù)明確的規(guī)定得到公平的對待，這是非常重要的。”

零日保護(hù) 移動(dòng)漏洞提交

惠普還使用ZDI來將零日威脅保護(hù)引入其TippingPoint IPS設(shè)備產(chǎn)品。VeriSign的iDefense漏洞貢獻(xiàn)者計(jì)劃為iDefense客戶提供類似的好處。對于要求介紹其計(jì)劃現(xiàn)狀的采訪，Verisign沒有作出回復(fù)。Gorenc表示，ZDI幫助提高威脅保護(hù)，但惠普還有其他機(jī)制，包括來自其合作伙伴的威脅保護(hù)信息，這也能幫助其提高零日攻擊檢測。

Web應(yīng)用漏洞通常占ZDI漏洞提交的大部分。但Gorenc表示，他預(yù)計(jì)在2013年將提交更多移動(dòng)漏洞。移動(dòng)基帶（在智能手機(jī)上運(yùn)行蜂窩活動(dòng)）正在吸引研究人員的注意力，他表示，“我們將看到人們花更多時(shí)間來追蹤難以得到的目標(biāo)。”

近場通信（NFC）是為移動(dòng)支付開發(fā)的通信協(xié)議，該協(xié)議正獲得越來越多的關(guān)注。移動(dòng)瀏覽器錯(cuò)誤（主要是Webkit漏洞）越來越常見。研究人員還正在以穩(wěn)定的步伐提交Java漏洞。Gorenc表示，他預(yù)計(jì)將會有越來越多的研究人員試圖尋找辦法來繞過軟件制造商部署的緩解措施，例如數(shù)據(jù)執(zhí)行保護(hù)（DEP）和地址空間布局隨機(jī)化（ASLR），這些廣泛部署的方法讓代碼執(zhí)行變得更加困難。