微软日前发布,将对此前“负义务的漏洞披露(Responsible Disclosure)”方法进行调剂,采用新的漏洞披露方法,从而能够对零日漏洞供给更加和谐一致的响应。
这一新的漏洞披露方法被称为“和谐的漏洞披露(Coordinated Vulnerability Disclosure,CVD)”,与微软负义务的漏洞披露政策相比变更不大。CVD政策将敦促安全研究人员向软件供给商或美国盘算机应急筹备小组报告发明的安全漏洞。根据CVD政策的规定,软件供给商和安全研究人员将会就漏洞修复期限达成一致。微软负责可信盘算安全业务的总经理Matt Thomlinson在微软安全响应中心的博客中表现,公司将努力使漏洞披露过程尽可能的透明。
Thomlinson指出,“义务当然依旧重要,但这应当是由安全研究人员、安全产品供给商和其他软件供给商组成的全部社区的共同义务。在进步盘算生态系统的总体安全性方面,安全社区的每个成员都应施展自己的作用。”
不久前,谷歌的安全研究人员Tavis Ormandy公开披露了Windows XP中存在的零日漏洞,并发布了针对该漏洞的概念验证代码。随后,微软发布了这一新的漏洞披露方法。几天前,微软发表声明警告说,其已经检测到试图针对该漏洞的恶意攻击。
Thomlinson表现,微软和其他软件制作商有义务与报告该漏洞的安全研究人员进行沟通。软件制作商承诺将供给及时更新并断定预定解决日期。另外,Thomlinson还指出,遵照这一新的漏洞披露政策的安全研究人员可以提前发布包含有限细节的安全公告,但不应当供给概念验证代码。
Thomlinson在博客中写到,“软件供给商和漏洞发明者需要密切协作以修复漏洞;应当进行广泛的努力,以及时对安全漏洞做出响应;一旦主动攻击被公开披露,最好的对策应当是集中力量减少攻击带来的迫害和提出暂时性解决计划——即使那样,软件供给商和漏洞发明者仍然应当尽可能地和谐一致。”
安全研究人员如是说
尽管微软新的漏洞披露方法获得了一些专家的支撑,但也有研究人员声称,新政策不会对漏洞报告方法产生太大影响。
漏洞管理公司Rapid7的首席安全官、安全漏洞检测工具Metasploit的渗透测试框架总设计师、安全研究社区的长期拥戴者H.D. Moore认为,微软的声明不过是“试图把持关于负义务的漏洞披露的争辩”。Moore指出,微软新的漏洞披露政策仍然没有什么效率。漏洞发明者最终有权决定是公开披露一个漏洞,还是悄悄将其报告给软件供给商。
Moore表现,“微软值得称道的处所在于其承认漏洞的存在,但在及时修复漏洞方面做的还不够好。微软似乎并未承认供给商不遵照这些规定。而供给商从来都没有遵照过这些规定。”
Moore强调,软件供给商保持对漏洞披露的把持的唯一合法道路是,与安全研究人员签订合同,通过某种情势的嘉奖打算向漏洞发明者支付奖金。
在一篇详细介绍这一新的漏洞披露方法的博文中,微软安全响应中心生态系统策略团队的资深安全策略专家Katie Moussouris列出了一些支撑这一理念变更的安全专家的评论。Moussouris指出,这一漏洞披露方法的转变是“对‘负义务的漏洞披露’的修正,为微软和安全研究人员密切协作供给了一种预期和过程。即使在漏洞披露理念未能完整同步变更的情况下,各方在讨论漏洞披露时也不必因应用一个容易让人曲解的术语而产生歧义。”
非营利性信息安全公共组织Open Security Foundation的总裁、安全监控产品供给商Tenable Network Security的Nessus安全漏洞扫描器专家Brian Martin表现,微软新的漏洞披露方法试图在必定程度上解决与“负义务的漏洞披露”有关的极端问题,并使其内部政策更加透明。
Martin说,“关于负义务的漏洞披露的争辩由来已久,并可能持续持续下去。我认为,这一漏洞披露方法的转变并不意味着微软盼望把持所有的漏洞披露道路,而是表明微软将如何处理漏洞披露和修复问题。”
相关阅读