近日，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部正式印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡稱《規(guī)定》)?！兑?guī)定》規(guī)范了網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、報告、修補(bǔ)和發(fā)布等行為，明確網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營者的責(zé)任和義務(wù)，并將于2021年9月1日正式施行。

隨著《規(guī)定》的塵埃落地，對漏洞披露者來說，有哪些“坑”需要規(guī)避?對網(wǎng)絡(luò)產(chǎn)品提供者來說，又有哪些“責(zé)”需要盡?

[[411633]]

漏洞披露者：合規(guī)披露堅守正義也要保護(hù)自己

網(wǎng)絡(luò)安全行業(yè)中的攻防對抗始終擺脫不了“漏洞”的牽制，在與“黑產(chǎn)”較量的過程中，以防漏洞為核心的網(wǎng)絡(luò)白色產(chǎn)業(yè)應(yīng)運(yùn)而生，惡意黑客利用漏洞牟取私利，白帽子爭分奪秒負(fù)隅頑抗，只為守衛(wèi)網(wǎng)絡(luò)安全的邊界。

2020年，CNVD共收錄通用軟硬件漏洞19964個，這是“白產(chǎn)”與“黑產(chǎn)”較量中可量化的成果之一，沒有人知道如果這些漏洞被惡意黑客利用，會造成什么樣的后果，圍繞漏洞的攻防對抗也將成為網(wǎng)絡(luò)安全中永恒的主題。

在這場圍繞“漏洞”的攻防對抗中，白帽子作為與惡意黑客對抗的主要力量，發(fā)揮了巨大價值，然而，在白帽子備受肯定之際，由于權(quán)責(zé)不清而導(dǎo)致的違規(guī)披露漏洞現(xiàn)象也屢見不鮮?！兑?guī)定》的出臺，與其說是強(qiáng)壓責(zé)任，不如說是通過明晰權(quán)責(zé)，樹立邊界感，在合規(guī)的條件下，讓白帽子的社會價值發(fā)揮至極致。

《規(guī)定》第九條強(qiáng)調(diào)，從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個人不得在網(wǎng)絡(luò)產(chǎn)品提供者提供網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)措施之前發(fā)布漏洞信息;認(rèn)為有必要提前發(fā)布的，應(yīng)當(dāng)與相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者共同評估協(xié)商，并向工業(yè)和信息化部、公安部報告，由工業(yè)和信息化部、公安部組織評估后進(jìn)行發(fā)布。

“違反本規(guī)定收集、發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息的，由工業(yè)和信息化部、公安部依據(jù)各自職責(zé)依法處理;構(gòu)成《中華人民共和國網(wǎng)絡(luò)安全法》第六十二條規(guī)定情形的，依照該規(guī)定予以處罰。”

早前，據(jù)人民網(wǎng)報道，中國信通院安全研究所副所長、教授級高級工程師覃慶玲表示，網(wǎng)絡(luò)安全漏洞披露是網(wǎng)絡(luò)安全風(fēng)險控制的中心環(huán)節(jié)，不規(guī)范或非法的網(wǎng)絡(luò)安全漏洞披露嚴(yán)重危害網(wǎng)絡(luò)空間整體安全，甚至被惡意黑客利用，影響國家安全、社會穩(wěn)定和民眾生活。

隨著《規(guī)定》實施日期的確定，白帽子們也需要從保護(hù)自己的角度出發(fā)，合規(guī)披露漏洞，避免入“坑”，為自己帶來不必要的麻煩。

網(wǎng)絡(luò)產(chǎn)品提供者：及時響應(yīng)確保產(chǎn)品漏洞得到及時修補(bǔ)和合理發(fā)布

如果說漏洞的發(fā)現(xiàn)與響應(yīng)是接力賽，那在白帽子將漏洞提交給第三方平臺或者網(wǎng)絡(luò)產(chǎn)品提供者之際，最后一棒的沖刺就開始了。

漏洞的發(fā)掘、管理和維護(hù)，需要全產(chǎn)業(yè)鏈的成員共同努力。因此，除了規(guī)范漏洞披露者的行為，《規(guī)定》還對網(wǎng)絡(luò)安全產(chǎn)品提供者的責(zé)任和義務(wù)進(jìn)行了明確的劃分。

《規(guī)定》明確指出，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù)，確保其產(chǎn)品安全漏洞得到及時修補(bǔ)和合理發(fā)布，并指導(dǎo)支持產(chǎn)品用戶采取防范措施。

據(jù)了解，白帽子選擇違規(guī)揭露漏洞主要有兩個原因，一是是白帽子在向廠商提交漏洞后，有的廠商沒有及時反饋甚至是不予反饋;二是白帽子沒有意識到隨意披露漏洞的行為已違規(guī)。

《規(guī)定》中對網(wǎng)絡(luò)產(chǎn)品提供者責(zé)任和義務(wù)的強(qiáng)調(diào)，也將有效規(guī)避由于廠商“不作為”而導(dǎo)致白帽子違規(guī)披露漏洞的情況。“發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對安全漏洞進(jìn)行驗證，評估安全漏洞的危害程度和影響范圍，對屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。”

此外，《規(guī)定》還指出，鼓勵網(wǎng)絡(luò)產(chǎn)品提供者建立所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞獎勵機(jī)制，對發(fā)現(xiàn)并通報所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個人給予獎勵。

目前，不論是從各大廠商在不斷完善安全應(yīng)急響應(yīng)中心的漏洞審核機(jī)制來看，還是從不斷加大漏洞獎勵力度來看，各大廠商均意識到白帽子的重要性，也越來越重視白帽子的付出。

如2020年，騰訊首次推出了百萬獎金池，單個漏洞額外獎勵最高可達(dá)20萬元;滴滴于2021年增加了年度獎勵規(guī)范中獲獎金的名額;2021年，深信服升級獎勵機(jī)制，單個漏洞稅后最高獎勵金額達(dá)50萬元……

在與“黑產(chǎn)”的較量中，需要白帽子搶先一步發(fā)現(xiàn)漏洞的高超技術(shù)，需要白帽子與網(wǎng)絡(luò)安全產(chǎn)品提供者的順暢交接，更需要網(wǎng)絡(luò)安全產(chǎn)品提供者的迅速反應(yīng)……

共筑網(wǎng)絡(luò)安全防線，靠的不是一個人，而是一群人，這群人也許會因為誤會而產(chǎn)生過誤解，因為誤解而起過爭執(zhí)，但他們始終帶著“守衛(wèi)網(wǎng)絡(luò)安全，我輩義不容辭”的理念，在各自的崗位上堅守奮戰(zhàn)，隨著《規(guī)定》的正式出臺和規(guī)范的明晰，未來，相信這群人在網(wǎng)絡(luò)安全守衛(wèi)戰(zhàn)的道路上將走的更加順暢。