當(dāng)安全研究者發(fā)現(xiàn)一個(gè)軟件產(chǎn)品漏洞后，***的漏洞披露方式是什么?軟件供應(yīng)商又應(yīng)該如何接收和響應(yīng)漏洞披露?這類問題的解答正凸顯關(guān)切和重要，因?yàn)榘殡S著信息軟件商品的涌現(xiàn)，隨之而來就是各種網(wǎng)絡(luò)安全漏洞。而在實(shí)際中，作為事件相關(guān)方，處理類似問題，或許需要更多的支撐數(shù)據(jù)和參考觀點(diǎn)。

因此，在美國國家電信與信息管理局(NTIA)的發(fā)起下，我們就“多方利益”相關(guān)的漏洞披露處理態(tài)度和方法，對一些安全研究者和技術(shù)運(yùn)營商開展了調(diào)查。調(diào)查分三個(gè)工作組，作為成員單位，我們Rapid7負(fù)責(zé)關(guān)注漏洞披露處理的采用方式和意識驅(qū)動相關(guān)問題，即“意識與采用工作組”(Awareness and Adoption Working Group)的調(diào)查。

我們認(rèn)為這項(xiàng)調(diào)查非常及時(shí)和重要，因?yàn)榫湍壳皝碚f，雖然漏洞披露不再是一個(gè)新話題，但是一些推薦性的漏洞處理方法還相對較少;另外，作為漏洞事件雙方，安全研究者和技術(shù)運(yùn)營提供商由于缺乏相互了解，不斷導(dǎo)致沖突增多。調(diào)查的另一層目的還在于，了解一些觀點(diǎn)是否過時(shí)、被夸大或具有代表性。共有285位技術(shù)運(yùn)營提供商代表和414位代表接受調(diào)查。

主要調(diào)查結(jié)果

安全研究者調(diào)查

絕大多數(shù)安全研究者(92%)都參與過某種形式的協(xié)調(diào)性漏洞披露活動;

安全研究者選擇公開的漏洞披露方式，主要原因在于對漏洞披露方式的失望，大多為圍繞與技術(shù)運(yùn)營商的溝通問題;

60%的安全研究者表示，出于對法律訴訟的擔(dān)心，他們不會選擇直接把漏洞披露給技術(shù)運(yùn)營商;

15%的安全研究者希望通過漏洞披露得到賞金，而70%希望與技術(shù)運(yùn)營商定期就漏洞問題溝通。

技術(shù)運(yùn)營商調(diào)查

• 接受調(diào)查的技術(shù)運(yùn)營商可以分為”更成熟“和”不夠成熟“兩種，，其“更成熟”的占比達(dá)60%至80%;
• 大多數(shù)”更成熟“的運(yùn)營商(76%)都想建立自己的漏洞處理機(jī)制，只有一小部分持觀望態(tài)度，或寄希望于一些國際指導(dǎo)標(biāo)準(zhǔn);
• ”更成熟“的運(yùn)營商認(rèn)為，出于企業(yè)責(zé)任感和對客戶負(fù)責(zé)的態(tài)度，希望制訂漏洞披露政策;
• 33%的運(yùn)營商則認(rèn)為，漏洞處理機(jī)制應(yīng)該是服務(wù)供應(yīng)商的事。

漏洞披露處理的意義

隨著物聯(lián)網(wǎng)和生活中各式各樣網(wǎng)絡(luò)安全威脅的興起，我們看到了***的技術(shù)復(fù)雜度和連接性，在安全研究者和技術(shù)運(yùn)營商之間，建立對漏洞的有效披露處理機(jī)制已經(jīng)變得尤為關(guān)鍵。

在未來，我們希望調(diào)查能幫助一些推薦性的漏洞實(shí)踐處理方法和意識培養(yǎng)的實(shí)施。目前，我們已經(jīng)看到了一些漏洞披露方面的顯著進(jìn)步和變化，如《數(shù)字千年法案》對安全研究的豁免、美國食藥監(jiān)局(FDA)對醫(yī)療設(shè)備的售后網(wǎng)絡(luò)安全問題指導(dǎo)、美國國家公路交通安全管理局(NHTSA)對漏洞披露指導(dǎo)的建議，以及國防、航空、汽車、醫(yī)療等行業(yè)開展的漏洞披露和處理項(xiàng)目，這些都是關(guān)于漏洞披露被越顯重視的典型事例，都是漏洞披露和處理機(jī)制的***實(shí)踐探索。

調(diào)查數(shù)據(jù)釋放了一種信息：大多數(shù)受訪者表示他們認(rèn)同漏洞協(xié)調(diào)處理帶來的好處，特別是，很多安全研究者和成熟的技術(shù)運(yùn)營商愿意投入更多時(shí)間和資源來做這件事。

然而，仍然還有一些觀念和交流挑戰(zhàn)存在于安全研究者和運(yùn)營商之間，***的部分來自于，60%的安全研究者對運(yùn)營商采取法律訴訟的擔(dān)心，針對這些存在的問題，報(bào)告建議：

• 應(yīng)該鼓勵(lì)更多的協(xié)調(diào)機(jī)制，來加強(qiáng)安全研究者和運(yùn)營商之間的交流，而不是簡單直接向公眾公開披露。為保護(hù)安全研究者，應(yīng)該從法律層面消除障礙，或通過法律或漏洞披露策略明確責(zé)任權(quán)利。成熟和不成熟的運(yùn)營商都應(yīng)該認(rèn)真積極學(xué)習(xí)相關(guān)的國際標(biāo)準(zhǔn)，如ISO系列，其中就描述了軟件開發(fā)生命周期內(nèi)實(shí)施漏洞處理機(jī)制帶來的成本節(jié)約好處。