最近網(wǎng)安圈有白帽子頻繁以個(gè)人名義披露各家廠商的安全漏洞，著實(shí)為各家廠商以及安全從業(yè)人員敲響了警鐘。反觀整個(gè)事件，我們換個(gè)角度，漏洞真的是以個(gè)人或者組織名義想報(bào)就能報(bào)的嗎?今天小編也借這個(gè)機(jī)會(huì)，和各位來(lái)共同探討下這個(gè)問(wèn)題。

[[339202]]

先拋出我們的觀點(diǎn)，不管是個(gè)人還是組織，如果找到了哪家安全廠商的產(chǎn)品漏洞，不論是從維護(hù)整個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)秩序的角度出發(fā)，還是從個(gè)人保護(hù)自己的角度出發(fā)，都建議大家按照《網(wǎng)絡(luò)安全漏洞管理規(guī)定》，依法披露漏洞。

從維護(hù)整個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)秩序，共建和諧社會(huì)的角度來(lái)看。安全產(chǎn)品需要維護(hù)，不斷更新和迭代以適應(yīng)不斷變化的網(wǎng)絡(luò)安全環(huán)境。技術(shù)的發(fā)展使得安全攻防隨之升級(jí)，這個(gè)過(guò)程難免會(huì)發(fā)現(xiàn)漏洞。一般而言，廠商在知道了自己有漏洞的前提下，一定會(huì)第一時(shí)間組織力量修復(fù)漏洞，維護(hù)用戶(hù)安全。試想下如果在沒(méi)有通知 CNVD 和廠商的角度下，私自暴露漏洞，黑客可能會(huì)第一時(shí)間利用漏洞進(jìn)行對(duì)用戶(hù)的攻擊，給用戶(hù)和整個(gè)社會(huì)直接帶來(lái)?yè)p失。這個(gè)一定是我們不想看到的。

從保護(hù)個(gè)人的角度，在未通知廠商的前提下披露漏洞的行為，本身就已經(jīng)違反了《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見(jiàn)稿)》，筆者了解到，其實(shí)多部委一直在共同協(xié)商，不斷完善相關(guān)法律條款，管理這類(lèi)行為。由于漏洞披露導(dǎo)致了部分用戶(hù)被黑客攻擊，進(jìn)而造成用戶(hù)的巨大損失，漏洞的違法披露者是難辭其咎的。所以建議廣大的白帽還是要學(xué)會(huì)保護(hù)自己，依法披露漏洞。

網(wǎng)絡(luò)安全漏洞披露已成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制的中心環(huán)節(jié)。不規(guī)范或非法的網(wǎng)絡(luò)安全漏洞披露危害網(wǎng)絡(luò)空間整體安全，凸顯出法律規(guī)定的灰色地帶。同時(shí)，國(guó)內(nèi)外不同主體基于不同動(dòng)機(jī)和利益驅(qū)動(dòng)，開(kāi)展了廣泛的網(wǎng)絡(luò)安全漏洞披露實(shí)踐，并已經(jīng)引發(fā)各方對(duì)不利法律后果的反思。

Q1：最近關(guān)于漏洞披露問(wèn)題討論很多，關(guān)于漏洞相關(guān)的披露機(jī)制是怎樣的?

A1：一般情況下，當(dāng)發(fā)現(xiàn)一個(gè)漏洞之后，可以先上報(bào)國(guó)家信息安全漏洞共享平臺(tái) CNVD(China National Vulnerability Database，)，CNVD 通知廠商需要在 90/10 天內(nèi)修復(fù)，廠商采取漏洞修補(bǔ)或防范措施后再予以公開(kāi)，這樣能最大程度的保護(hù)用戶(hù)的安全，同時(shí)促進(jìn)整個(gè)行業(yè)有序發(fā)展。如果發(fā)現(xiàn)漏洞而沒(méi)有上報(bào) CNVD，而是直接披露，這是有一定風(fēng)險(xiǎn)和隱患的。

Q2：漏洞披露有哪幾種類(lèi)型，原則是什么?

A2：常見(jiàn)的披露類(lèi)型主要有不披露、完全披露、負(fù)責(zé)任的披露和協(xié)同披露四種。

漏洞被發(fā)現(xiàn)后，就進(jìn)入了漏洞披露階段。漏洞發(fā)現(xiàn)者有可能不披露漏洞，對(duì)安全漏洞的相關(guān)信息完全保密，既不報(bào)送給廠商，又不向公眾公開(kāi)這就是不披露。與此相反，漏洞發(fā)現(xiàn)者也可能公開(kāi)完全披露相關(guān)的漏洞信息，未事先對(duì)廠商進(jìn)行告警，廠商沒(méi)有充分的時(shí)間修復(fù)漏洞，漏洞信息也直接暴露給了潛在的惡意攻擊者，這就是完全披露，也被稱(chēng)作不負(fù)責(zé)任的披露。

漏洞發(fā)現(xiàn)者先報(bào)送漏洞，待廠商修復(fù)漏洞后，廠商再公告相關(guān)漏洞信息并發(fā)布補(bǔ)丁，這就是負(fù)責(zé)人的披露。當(dāng)然，實(shí)踐過(guò)程中漏洞發(fā)現(xiàn)者和廠商也可能存在爭(zhēng)議。在負(fù)責(zé)任披露的基礎(chǔ)上，引入了協(xié)調(diào)者，協(xié)調(diào)者通常在各方利益相關(guān)者之間扮演信息傳達(dá)或信息經(jīng)紀(jì)人的角色，這就是協(xié)同披露。

原則上，一般采用的是負(fù)責(zé)任的披露。協(xié)同披露強(qiáng)調(diào)漏洞信息的共享，各方的協(xié)同合作，更為有利于保護(hù)網(wǎng)絡(luò)安全。

Q3：漏洞披露違規(guī)存在什么樣的風(fēng)險(xiǎn)?

A3：首先是用戶(hù)安全風(fēng)險(xiǎn)。

違規(guī)披露漏洞，會(huì)導(dǎo)致漏洞傳播。許多知名的開(kāi)放社區(qū)都是零門(mén)檻的，很多黑客也埋伏在其中，這就導(dǎo)致了漏洞被公開(kāi)后的一段時(shí)間內(nèi)容黑客活動(dòng)激增。在廠商發(fā)布漏洞補(bǔ)丁和用戶(hù)更新之前，這樣的安全風(fēng)險(xiǎn)是難以把控的。一個(gè)著名的例子就是 Mirai 僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)在 2016 年攻擊了美國(guó)的物聯(lián)網(wǎng)設(shè)備，使美國(guó)多個(gè)城市的互聯(lián)網(wǎng)癱瘓。實(shí)際上最初，它是用于對(duì) Telnet 的嵌入式監(jiān)聽(tīng)設(shè)備進(jìn)行暴力攻擊。后來(lái)，Mirai 源代碼被發(fā)布到開(kāi)源社區(qū)，產(chǎn)生了模仿版本，用于對(duì)通過(guò) SecureShell(SSH) 的監(jiān)聽(tīng)硬件進(jìn)行暴力攻擊。直到今年，Mirai 變體仍然對(duì)嵌入式 Linux 系統(tǒng)構(gòu)成持續(xù)不斷的威脅。

其次是法律風(fēng)險(xiǎn)。安全從業(yè)人員違規(guī)披露漏洞，不僅破壞了行業(yè)規(guī)則，也給自己帶來(lái)了法律風(fēng)險(xiǎn)。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定，開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國(guó)家有關(guān)規(guī)定。根據(jù)《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見(jiàn)稿)》的規(guī)定，第三方組織或者個(gè)人不得在網(wǎng)絡(luò)產(chǎn)品、服務(wù)提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者向社會(huì)或用戶(hù)發(fā)布漏洞修補(bǔ)或防范措施之前發(fā)布相關(guān)漏洞信息，不得發(fā)布和提供專(zhuān)門(mén)用于利用網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)漏洞從事危害網(wǎng)絡(luò)安全活動(dòng)的方法、程序和工具。2017 年，網(wǎng)易 SRC 指責(zé)白帽子違反漏洞測(cè)試原則，在未經(jīng)網(wǎng)易及 NSRC 授權(quán)的情況下，擅自公開(kāi)披露漏洞細(xì)節(jié)，讓廣大網(wǎng)易產(chǎn)品用戶(hù)置于潛在的風(fēng)險(xiǎn)中，強(qiáng)調(diào)違刑必究。

Q4：漏洞披露者如何避免法律風(fēng)險(xiǎn)?

A4：需要遵守相關(guān)法律法規(guī)，按照規(guī)范化流程進(jìn)行。

一般是先上報(bào) CNVD，CNVD 通知廠商在 90/10 天內(nèi)修復(fù)，再對(duì)漏洞進(jìn)行披露。漏洞的報(bào)送和披露，國(guó)內(nèi)基本形成國(guó)家安全漏洞庫(kù)，第三方漏洞平臺(tái)和企業(yè) SRC 或 PSIRT 并存的結(jié)構(gòu)。像這次事件的深信服，對(duì)漏洞檢測(cè)也是持開(kāi)放態(tài)度，國(guó)內(nèi)不少企業(yè)機(jī)構(gòu)都對(duì)漏洞發(fā)現(xiàn)者予以獎(jiǎng)勵(lì)。

網(wǎng)絡(luò)安全漏洞披露集結(jié)了政府部門(mén)、產(chǎn)品和服務(wù)提供者、第三方研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、用戶(hù)、黑客或「白帽子」等多方利益相關(guān)者及其協(xié)調(diào)關(guān)系，所有利益相關(guān)者均應(yīng)肩負(fù)起應(yīng)有的法律責(zé)任，共同推動(dòng)網(wǎng)絡(luò)社會(huì)的有序運(yùn)行。

互聯(lián)網(wǎng)空間始終不是法外之地，尤其是當(dāng)我們進(jìn)入萬(wàn)物互聯(lián)時(shí)代，任何舉措都可能對(duì)用戶(hù)、企業(yè)、市場(chǎng)造成影響。所以這也要求每一個(gè)人，遵守規(guī)則，尊重法律法規(guī)，共同維護(hù)網(wǎng)絡(luò)空間的安全和諧。未來(lái)，我們也希望，隨著法律、法規(guī)的進(jìn)一步健全，隨著網(wǎng)絡(luò)安全市場(chǎng)的成熟，代表網(wǎng)絡(luò)正義的「白帽子」們，也將發(fā)揮更大的力量。