负责任披露
本文约需 2 分钟阅读
负责任的披露 (Responsible Disclosure) 是指在发现软件或服务的漏洞时,先以非公开方式通知厂商,待修复补丁提供后再公开信息的流程。这种由发现者与厂商协作处理漏洞的机制,作为既保护用户免受攻击、又确保安全研究透明性的平衡做法,已在当前的安全社区中被广泛接受。
与完全披露的区别
漏洞的公开方针大致有 3 种立场,各自基于不同的理念。
| 方针 | 概要 | 优点 | 风险 |
|---|---|---|---|
| 负责任的披露 | 先通知厂商,修复后再公开 | 在用户已受保护的状态下公开信息 | 厂商可能拖延应对 |
| 完全披露 | 发现后立即公开全部信息 | 迫使厂商迅速应对 | 在补丁发布前攻击者即可利用 |
| 不披露 | 仅通知厂商,不予公开 | 信息不会落入攻击者之手 | 无法验证厂商的应对情况 |
2000 年代初的完全披露运动,源于对厂商无视漏洞报告这一问题的反弹。然而,在尚无补丁的状态下公开攻击代码的风险很大,因此当前以负责任的披露为主流。 Microsoft 于 2010 年提出了 “Coordinated Vulnerability Disclosure (CVD)” 这一名称,强调发现者与厂商的协作。
典型时间线与 90 天规则
发现漏洞
通知厂商
修复开发与验证
发布补丁
公开漏洞信息
Google Project Zero 于 2014 年设定的 “90 天规则” 已成为行业标准的披露期限。其政策是:自通知厂商起经过 90 天后,无论是否有补丁都公开漏洞信息。有了这一期限,便能抑制厂商拖延应对的动机。实际上 Google Project Zero 曾有在期限到来后公开 Microsoft 和 Apple 漏洞的案例,促使各大厂商改善了补丁管理体制。
与漏洞赏金的关系
漏洞赏金计划是一种为负责任的披露提供经济激励的机制。发现者向厂商报告漏洞后,会根据严重程度获得相应的赏金。HackerOne 和 Bugcrowd 等平台充当中介角色,提供报告模板化、CVE 编号的获取支持以及法律保护框架。在开源安全审计中,漏洞赏金与负责任的披露的联动也是一个重要主题。
法律风险与安全港
漏洞的发现与报告伴随着法律风险。即便是出于善意的研究者,也可能触犯《非法访问禁止法》(日本)、CFAA (美国)、《计算机滥用法》(英国) 等法律。为缓解这一问题,许多企业在安全政策中设置了 “安全港条款”。安全港条款明确表示:对于按照政策报告漏洞的研究者,不会采取法律措施。
在美国,司法部于 2022 年修订了 CFAA 的执行方针,表明将善意的安全研究排除在起诉对象之外。欧盟的 NIS2 指令也要求成员国建立协调式漏洞披露的框架。然而在日本,安全港的立法尚未推进,IPA (信息处理推进机构) 的漏洞申报制度实际上充当了接收渠道。在初创企业安全检查清单中,也介绍了制定披露政策的步骤。
常见误解
“一旦发现漏洞就应立即在社交网络上公开” 这种想法很危险。在尚无补丁的状态下公开,会给攻击者提供可乘之机。此外,未经许可对他人系统进行渗透测试这一调查行为本身就可能构成违法。正如供应链攻击的文章中所述,妥善处理漏洞信息对于防止攻击链的延伸也至关重要。
安全相关书籍 (Amazon) 上也能找到。
这篇文章对您有帮助吗?