政府應(yīng)不應(yīng)該囤積零日漏洞?對(duì)這個(gè)問(wèn)題的回答見(jiàn)仁見(jiàn)智。有人覺(jué)得將軟件漏洞秘而不宣會(huì)影響所有用戶，無(wú)論如何都應(yīng)當(dāng)披露漏洞。另一方面，零日漏洞在一些人眼中與國(guó)家安全掛鉤，認(rèn)為只要能給本國(guó)帶來(lái)戰(zhàn)爭(zhēng)或情報(bào)收集上的優(yōu)勢(shì)，就應(yīng)該保密。

[[256801]]

還有一群人持第三種觀點(diǎn)，他們清楚政府囤積零日漏洞的優(yōu)勢(shì)與后果，認(rèn)為對(duì)待零日漏洞不能非黑即白，應(yīng)根據(jù)當(dāng)前狀況與情勢(shì)變化充分衡量這么做的利弊，酌情選擇是披露還是保密零日漏洞。

美國(guó)政府確實(shí)設(shè)置有衡量漏洞該不該披露的一個(gè)過(guò)程，名為“漏洞權(quán)衡過(guò)程(VEP)”。美國(guó)聯(lián)邦政府采用該過(guò)程確定每個(gè)零日計(jì)算機(jī)安全漏洞的“待遇”：是向公眾披露以改善計(jì)算機(jī)安全環(huán)境，還是加以保密留作對(duì)付政府假想敵的殺手锏?VEP在2000年代末期被制定出來(lái)，起因是公眾對(duì)零日漏洞囤積行為的憤怒日益高漲。該過(guò)程最初呈保密狀態(tài)，直到2016年電子前沿基金會(huì)(EFF)根據(jù)《信息自由法案》(FOIA)申請(qǐng)到了一份經(jīng)脫密處理的文檔。2017年年中，黑客團(tuán)伙“影子經(jīng)紀(jì)人”的曝光之后，白宮向公眾披露了VEP的更新版本，試圖提升該過(guò)程的透明度。那么，VEP到底是怎么進(jìn)行的呢?

今天的VEP過(guò)程

該過(guò)程經(jīng)白宮授權(quán)，由美國(guó)國(guó)家安全局(NSA)的代表和總統(tǒng)的網(wǎng)絡(luò)安全協(xié)調(diào)官共同領(lǐng)導(dǎo)，NSA代表作為該過(guò)程的執(zhí)行秘書(shū)聽(tīng)從國(guó)防部的指導(dǎo)，總統(tǒng)的網(wǎng)絡(luò)安全協(xié)調(diào)官則是該過(guò)程的總監(jiān)。其他參與者還包括來(lái)自10個(gè)政府機(jī)構(gòu)的代表，他們組成了權(quán)衡審核委員會(huì)。

該過(guò)程要求漏洞發(fā)現(xiàn)機(jī)構(gòu)、執(zhí)行秘書(shū)及權(quán)衡審核委員會(huì)成員之間展開(kāi)對(duì)話。各方就內(nèi)部披露的漏洞細(xì)節(jié)提出各自權(quán)益，比如“該漏洞可能對(duì)自身產(chǎn)生的影響”等等。然后漏洞報(bào)告者和權(quán)益要求者之間將開(kāi)啟新一輪討論，確定是建議披露還是建議隱瞞該漏洞。權(quán)衡審核委員會(huì)最終達(dá)成共識(shí)，決定接受該建議還是另尋他策。如果達(dá)成披露決議，披露動(dòng)作會(huì)在7天內(nèi)開(kāi)始。算算時(shí)間線的話，從發(fā)現(xiàn)漏洞到披露漏洞，整個(gè)過(guò)程耗時(shí)在一星期到一個(gè)月不等，已經(jīng)是相當(dāng)快速的政府流程了。

VEP還要求做年報(bào)，年報(bào)至少要有漏洞公開(kāi)的執(zhí)行摘要，并包含有該過(guò)程整年的統(tǒng)計(jì)數(shù)據(jù)。***個(gè)報(bào)告周期截止日期為2018年9月30日，也就是說(shuō)，新的年報(bào)也不遠(yuǎn)了。

不足與例外

該過(guò)程顯然不***。除了時(shí)間安排，選擇不披露操作的情形也很多，還有各機(jī)構(gòu)間的踢皮球，所有這些都讓政府更傾向于維持舊狀，而不是努力達(dá)成VEP想要交付的公開(kāi)透明。圍繞該過(guò)程的一些現(xiàn)實(shí)問(wèn)題如下：

1. 保密及其他協(xié)議

VEP在披露時(shí)會(huì)受到法律限制，比如保密協(xié)議、諒解備忘錄和涉外國(guó)合作伙伴或私營(yíng)產(chǎn)業(yè)合作伙伴的其他協(xié)議。這就留下了以這些協(xié)議為借口阻止披露的機(jī)會(huì)。

2. 缺乏風(fēng)險(xiǎn)評(píng)估

業(yè)界基于多種因素為漏洞打出評(píng)分。VEP卻沒(méi)有強(qiáng)制要求此類評(píng)估。這種分類或評(píng)分過(guò)程的缺乏可能導(dǎo)致年終數(shù)據(jù)失真。比如說(shuō)，VEP可能公開(kāi)宣稱今年披露了100個(gè)漏洞，但由于缺乏漏洞上下文，這些漏洞有可能全都是對(duì)私營(yíng)產(chǎn)業(yè)毫無(wú)影響的低風(fēng)險(xiǎn)威脅。

3. NSA主導(dǎo)

考慮到NSA實(shí)際上是***的權(quán)益持有者，也是最有經(jīng)驗(yàn)的漏洞處理者，其代表被選為委員會(huì)執(zhí)行秘書(shū)毫不意外。該職位讓NSA在VEP過(guò)程中享有了***的權(quán)力。

4. 不披露選項(xiàng)

雖然公開(kāi)披露是默認(rèn)選項(xiàng)，但其他選項(xiàng)還包括：披露緩解信息而非漏洞本身;美國(guó)政府限制使用;秘密披露給美國(guó)盟友;以及間接披露給供應(yīng)商。這些選項(xiàng)大多將漏洞瞞下，無(wú)視披露可能帶來(lái)的好處。

5. 缺乏透明性

除此之外，該過(guò)程似乎沒(méi)有納入來(lái)自私營(yíng)產(chǎn)業(yè)的監(jiān)督。圍繞零日漏洞的爭(zhēng)論中一直存在信任問(wèn)題。認(rèn)為更好的安全需要任何漏洞都應(yīng)披露的人，幾乎不會(huì)接受內(nèi)部人士所謂“因?yàn)橹档帽Ｃ芏荒芘?rdquo;的回復(fù)。組成權(quán)衡審核委員會(huì)的10個(gè)機(jī)構(gòu)中既有商務(wù)部也有國(guó)土安全部，有人可能覺(jué)得這兩個(gè)部門應(yīng)該會(huì)將私營(yíng)產(chǎn)業(yè)權(quán)益考慮進(jìn)去。但安全倡導(dǎo)者不這么想，畢竟這些席位也都是政府指定的。

由產(chǎn)業(yè)界代表和具安全權(quán)限的網(wǎng)絡(luò)安全專家組成私營(yíng)產(chǎn)業(yè)審核委員會(huì)是個(gè)不錯(cuò)的辦法。這些委員會(huì)成員可以在一個(gè)月或一個(gè)季度的期限內(nèi)審核VEP過(guò)程的結(jié)果。如果政府的委員會(huì)和業(yè)界專家組成的委員會(huì)都判定“值得保密”，安全倡導(dǎo)者接受起來(lái)也就沒(méi)那么難了。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文