時翌飛 馮景瑜 黃鶴翔 曹旭棟 王 鶴 張玉清,
1(西安郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 西安 710121)2(中國科學(xué)院大學(xué)國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心 北京 100049)3(西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院 西安 710071)
(syf19961002@outlook.com)
2019年11月20日,中國國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》[1],這是繼2019年6月中國工業(yè)和信息化部發(fā)布《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》[2]后,再次提出規(guī)范威脅信息發(fā)布的征求意見.該征求意見標(biāo)志著我國進(jìn)一步對安全漏洞披露流程規(guī)范性的關(guān)注.
安全漏洞披露是網(wǎng)絡(luò)威脅情報(bào)共享中的重要環(huán)節(jié),是有效緩解攻防不平衡態(tài)勢的重要手段.目前在網(wǎng)絡(luò)威脅情報(bào)共享和交換方面已有學(xué)者做了大量研究工作,其中石志鑫等人[3]就威脅情報(bào)的相關(guān)標(biāo)準(zhǔn)角度闡述了如何進(jìn)行高效的威脅情報(bào)信息共享;李留英[4]就目前美國制定的較為完善的網(wǎng)絡(luò)威脅情報(bào)共享體系進(jìn)行深入分析,并舉出了網(wǎng)絡(luò)威脅情報(bào)的實(shí)踐舉措;林玥等人[5]通過廣泛調(diào)研有關(guān)文獻(xiàn),分析和歸納了威脅情報(bào)共享與交換的發(fā)展趨勢,并著重從共享模型、交換機(jī)制的角度進(jìn)行了深入分析;黃克振等人[6]則根據(jù)威脅情報(bào)共享面臨的隱私保護(hù)問題,提出了基于區(qū)塊鏈的威脅情報(bào)共享模型.該模型能在保護(hù)隱私性的前提下,利用區(qū)塊鏈的回溯能力構(gòu)建完整的攻擊鏈.上述作者的工作為威脅情報(bào)共享研究作出了許多貢獻(xiàn),但目前有關(guān)安全漏洞披露方面的工作還不完善.
目前我國的網(wǎng)絡(luò)安全形勢依然嚴(yán)峻,伴隨著信息技術(shù)的發(fā)展,新的安全漏洞帶來的威脅正在進(jìn)一步加重.目前國際上已有部分國家建立了標(biāo)準(zhǔn)的安全漏洞披露流程,我國也正在逐步規(guī)范安全漏洞披露的流程,并出臺了《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)法案[7].我國多數(shù)廠商還尚未發(fā)布規(guī)范的漏洞披露政策,為安全漏洞信息共享帶來了困難.基于該問題,本文廣泛調(diào)研了當(dāng)前國際上成熟的安全漏洞披露政策,并通過對比分析得出一些有用的結(jié)論.本文的主要貢獻(xiàn)有:
1) 對比了國際上成熟的安全漏洞披露政策;
2) 介紹了目前成熟的政府安全漏洞公平裁決程序;
3) 分析了目前制定安全漏洞披露政策所面臨的問題和挑戰(zhàn);
4) 對我國建立規(guī)范的安全漏洞披露政策提出一些建議.
安全漏洞披露是一個過程,IT產(chǎn)品供應(yīng)商和安全漏洞發(fā)現(xiàn)者可以通過該過程協(xié)同工作,以尋找可降低安全漏洞相關(guān)風(fēng)險的解決方案[8].
安全漏洞披露的實(shí)踐經(jīng)常處于2個極端情況之間,即完全披露和完全不披露,具體的有以下幾種情況:
1) 完全披露.即安全漏洞信息一經(jīng)掌握就立刻完全公開,這意味著攻擊者可以在廠商修補(bǔ)前就獲得安全漏洞的全部信息,從而利用漏洞發(fā)動攻擊.
2) 完全不披露.安全漏洞發(fā)現(xiàn)者從自身利益出發(fā)對安全漏洞信息完全保密并不對外公布.
3) 負(fù)責(zé)任披露.發(fā)現(xiàn)者以一種負(fù)責(zé)任的態(tài)度披露安全漏洞,可以和供應(yīng)商協(xié)商安全漏洞披露的具體流程,但雙方并不總能達(dá)成一致.
4) 協(xié)同披露(coordination vulnerability disclosure, CVD).這是目前更為成熟的方法,該方法引入一個公平的第三方,由第三方來幫助雙方就安全漏洞披露事宜達(dá)成一致,該方法目前被廣泛使用.
圖1[8]是CVD過程中所涉及到的各角色之間的關(guān)系示意圖.
圖1 CVD中各角色之間關(guān)系
CVD過程主要涉及到5個角色,他們是:
1) 發(fā)現(xiàn)者(finder)是識別安全漏洞的組織和個人;
2) 報(bào)告者(reporter)是通知安全漏洞供應(yīng)商的組織或個人;
3) 供應(yīng)商(vender)是創(chuàng)建或維護(hù)具有安全漏洞產(chǎn)品的組織或個人;
4) 協(xié)調(diào)者(coordinator)是幫助協(xié)調(diào)披露流程的組織或個人;
5) 部署者(deployer)是對安全漏洞采取補(bǔ)救措施的組織和個人.
CVD過程包括發(fā)現(xiàn)、報(bào)告、驗(yàn)證并分類、補(bǔ)救、發(fā)布和部署階段,圖2描述了CVD中涉及角色在不同階段的行為指南.
圖2 CVD中涉及角色在不同階段的行為指南
本節(jié)主要對各國的安全漏洞披露政策進(jìn)行分析研究,并總結(jié)了各國目前的安全漏洞披露的狀態(tài)及特點(diǎn).
我國的安全漏洞披露政策建設(shè)尚處于起步階段,2015年6月19日由中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會起草,由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(National Internet Emergency Center, CNCERT)、漏洞平臺、供應(yīng)商等32家單位簽署的《中國互聯(lián)網(wǎng)協(xié)會漏洞信息披露和處置自律公約》[9]是目前安全漏洞披露政策較有價值的參考.公約中的規(guī)定包括:
1) 各方的角色和職責(zé);
2) 各方需要遵守“客觀、適時、適度”的原則;
3) 在完成安全漏洞修復(fù)前禁止各方進(jìn)行披露,發(fā)布前需要征得供應(yīng)商同意.
《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法(征求意見稿)》[1]和《網(wǎng)絡(luò)安全漏洞管理規(guī)定(征求意見稿)》[2]中對威脅信息的發(fā)布提出了詳細(xì)的要求:
1) 發(fā)布時禁止帶有“預(yù)警”字樣;
2) 區(qū)域性、行業(yè)性、全國性發(fā)布需要先向有關(guān)部門報(bào)備;
3) 第三方組織可以發(fā)布安全漏洞信息,但應(yīng)建立內(nèi)部審核機(jī)制,避免內(nèi)部泄露安全漏洞信息.
另外,國家信息安全漏洞共享平臺(China national vulnerability database, CNVD)的《原創(chuàng)漏洞審核和處理流程》[10]提出應(yīng)遵循處置后發(fā)布的原則,默認(rèn)在45天后公開披露.
總體來看我國的安全漏洞披露政策還處于起步階段,各方達(dá)成共識和廣泛實(shí)施安全漏洞披露政策尚需時日.
2.2.1 美國
美國是目前世界范圍安全漏洞披露實(shí)施最為廣泛、規(guī)范最為健全的國家,其網(wǎng)絡(luò)安全法規(guī)制定相對完善,也發(fā)布了豐富的指導(dǎo)文獻(xiàn)來幫助各組織建立安全漏洞披露政策.
卡內(nèi)基梅隆大學(xué)軟件工程研究所的計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心(Computer Emergency Response Team/Coordination Center, CERT/CC)于2000年就發(fā)布了安全漏洞披露政策,目前仍在更新維護(hù).CERT/CC還發(fā)布了《CERT協(xié)調(diào)漏洞披露指南》[8],該指南被公認(rèn)為CVD政策的權(quán)威參考.CERT/CC的披露政策提到[11]:
1) 初次接到報(bào)告的45天后將公開披露安全漏洞,此時無論是否有緩解措施;
2) 允許CERT/CC自行決定拒絕協(xié)調(diào)或發(fā)布安全漏洞信息;
3) 針對于美國政府的安全漏洞將會轉(zhuǎn)發(fā)給美國計(jì)算機(jī)緊急事件響應(yīng)小組(US Computer Emergency Response Team, US-CERT).
美國計(jì)算機(jī)緊急事件響應(yīng)小組(US-CERT)是隸屬于美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cyber Security and Infrastructure Security Agency, CISA)的官方組織,負(fù)責(zé)接收關(guān)于政府機(jī)構(gòu)的安全漏洞信息,其CVD政策[12]提到:
1) 初次接到報(bào)告的45天后將公開披露安全漏洞,此時無論是否有緩解措施;
2) 當(dāng)CISA參與跨部門的安全漏洞權(quán)益裁決(vulnerabilities equities policy, VEP)時,該政策收集的安全漏洞不參與此裁決,VEP政策將會在后文提到.
在披露政策指導(dǎo)方面,2016年12月美國國家電信和信息管理局(National Telecommunications and Information Administration, NTIA)發(fā)布的CVD模板[13]是較早的政策模板.2017年7月美國司法部(Department of Justice, DOJ)發(fā)布了安全漏洞披露程序在線框架[14],該框架旨在幫助各方構(gòu)建完善的披露程序,避免不當(dāng)行為導(dǎo)致的法律追責(zé).2020年1月,CISA發(fā)布披露政策約束性操作指令(Binding Operational Directive, BOD)[15],該指令要求每個聯(lián)邦政府機(jī)構(gòu)在指令發(fā)布180天內(nèi)制定自己的披露政策,同時CISA也發(fā)布了安全漏洞披露模板[16]供各機(jī)構(gòu)參考.2020年NTIA和事件響應(yīng)和安全團(tuán)隊(duì)論壇(Forum of Incident Response and Security Teams, FIRST)發(fā)布了多方安全漏洞披露準(zhǔn)則[17],解決了當(dāng)前多數(shù)政策僅僅關(guān)注兩方協(xié)調(diào)的問題.
總體來看美國在安全漏洞披露政策制定、實(shí)施和改進(jìn)等方面都具有豐富經(jīng)驗(yàn),在國際上處于領(lǐng)先地位.
2.2.2 日本
日本在軟件或Web應(yīng)用程序的安全漏洞披露遵循《信息安全預(yù)警合作指南—2019》[18],該指南提到:
1) 信息促進(jìn)機(jī)構(gòu)(Information-Technology Promotion Agency, IPA)充當(dāng)聯(lián)絡(luò)機(jī)構(gòu),負(fù)責(zé)接收并審查安全漏洞;
2) 日本計(jì)算機(jī)緊急事件響應(yīng)團(tuán)隊(duì)協(xié)調(diào)中心(JPCERT/CC)充當(dāng)協(xié)調(diào)機(jī)構(gòu);
3) 針對軟件安全漏洞,由IPA提交給JPCERT/CC,然后JPCERT/CC再與開發(fā)者聯(lián)系.而Web應(yīng)用程序安全漏洞則由IPA直接聯(lián)系運(yùn)營者;
4) 初次接到報(bào)告的45天后將公開披露;
5) 在首次報(bào)告起滿1年后,發(fā)現(xiàn)者可以向IPA發(fā)出退出請求,并自由公開披露;
6) 要求所有發(fā)現(xiàn)者應(yīng)先向IPA報(bào)告他們的發(fā)現(xiàn),除非供應(yīng)商同意直接接收安全漏洞.
總體上看日本的安全漏洞披露政策相對健全,但缺乏對于研究人員的激勵,并且要求發(fā)現(xiàn)者先向IPA提交他們的發(fā)現(xiàn),這一要求有悖于使相關(guān)方迅速獲得威脅信息的初衷.
2.2.3 歐洲
歐盟網(wǎng)絡(luò)與信息安全局(European Union Agency for Network and Information Security, ENISA)是歐盟的網(wǎng)絡(luò)安全機(jī)構(gòu),致力于就信息安全的良好實(shí)踐為盟國提供建議.ENISA于2015年11月發(fā)布《從挑戰(zhàn)到建議的漏洞披露良好做法指南》[19]是較早發(fā)布的披露指南,其中提到:
1) 谷歌零項(xiàng)目[20]提供的披露時間90天是比較好的參考;
2) 披露政策的制定可在現(xiàn)有的參考文檔上進(jìn)行,避免重復(fù)工作.
歐盟成員國中,荷蘭在CVD政策的努力值得關(guān)注.荷蘭國家網(wǎng)絡(luò)安全中心(National Center for Cyber Security, NCSC)和其他部門合作,早在2013年就發(fā)布了政策指導(dǎo)方針[21],其中提到:
1) 軟件安全漏洞的合理響應(yīng)時間是60日,硬件安全漏洞的響應(yīng)時間是6個月;
2) 特定情況下雙方可以同意不披露安全漏洞;
3) 如果披露方按照披露政策行事,組織將表明其拒絕采取法律行動的立場.
西班牙(INCIBE-CERT)也發(fā)布了CVD政策[22];英國政府一直在進(jìn)行漏洞披露政策的試點(diǎn)工作,英國政府機(jī)構(gòu)通過與Hackone[23](一個漏洞協(xié)調(diào)和漏洞賞金平臺)合作進(jìn)行安全漏洞披露[24],另外英國也已發(fā)布了其VEP政策[25];法國的CVD政策已經(jīng)建立,并將其納入《數(shù)字共和國法案》[26];德國的CVD政策仍在制定當(dāng)中[27].
從政策制定的角度看,目前歐洲僅少數(shù)國家擁有較成熟的安全漏洞披露政策,其他國家正在制定或還沒有行動,整體處于發(fā)展階段.
我們對擁有安全漏洞披露政策國家進(jìn)行了對比和總結(jié),如表1所示:
表1 安全漏洞披露政策對比
政府可以通過多渠道獲取安全漏洞信息,盡管不披露安全漏洞會造成安全風(fēng)險,但安全漏洞可被政府用于執(zhí)法調(diào)查、情報(bào)收集或攻擊利用等.政府各個部門擁有公平的裁決權(quán)力,各部門代表參與決策環(huán)節(jié)來確定是否立即披露安全漏洞,該過程稱為安全漏洞公平裁決程序.一些國家政府已建立了自己的政府披露決策程序,但目前多數(shù)國家還沒有相關(guān)程序.
由于美國是最早公開該政策的國家,本節(jié)的研究將以分析美國政府安全漏洞公平裁決程序?yàn)橹?
美國已于2017年11月部分公開安全漏洞公平裁決程序[30](vulnerabilities equities policy, VEP).圖3為美國安全漏洞公平裁決程序流程,其中關(guān)鍵點(diǎn)為:
圖3 安全漏洞公平裁決程序流程
1) 政策適用于美國政府的所有部門和人員(包括供應(yīng)商);
2) 權(quán)益審查委員會(Equities Review Board, ERB)是審議的主要論壇,由美國多個政府機(jī)構(gòu)的代表組成,每月進(jìn)行1次,如緊急情況也可提前召開.
美國是最早開始實(shí)施安全漏洞公平裁決程序的國家,英國和澳大利亞也有某種形式的公平裁決程序,其他國家尚未對外公布該政策或缺乏實(shí)踐經(jīng)驗(yàn).另外2018年跨大西洋網(wǎng)絡(luò)論壇的提案《政府漏洞評估和管理》[31]被認(rèn)為是目前安全漏洞公平裁決程序很有價值的參考.目前一些專家提出并推行國際安全漏洞公平裁決程序(International Vulnerability Equities Process, IVEP)[32],旨在幫助更多國家快速建立標(biāo)準(zhǔn)的安全漏洞公平裁決程序.
安全漏洞披露的流程通常涉及多個機(jī)構(gòu),了解機(jī)構(gòu)間的協(xié)作關(guān)系有助于建立更快捷的處理流程.由于美國披露流程較為成熟,因此以美國為例進(jìn)行分析.
US-CERT是美國政府的權(quán)威安全漏洞發(fā)布機(jī)構(gòu)隸屬于CISA,國土安全部(Department of Homeland Security, DHS)是CISA的直接上級.CERT/CC為US-CERT提供技術(shù)支撐,由CISA贊助,并為私營機(jī)構(gòu)提供安全漏洞協(xié)調(diào).兩者均以US-CERT的名義發(fā)布安全漏洞信息.公共漏洞披露(Common Vulnerabilities and Exposures, CVE)為安全漏洞提供統(tǒng)一的標(biāo)識.國家安全漏洞數(shù)據(jù)庫(National Vulnerability Database, NVD)利用CVE命名標(biāo)準(zhǔn),提供快捷和詳細(xì)的漏洞索引服務(wù).國家標(biāo)準(zhǔn)和技術(shù)研究所(National Institute of Standards and Technology, NIST)是NVD的創(chuàng)建者.圖4所示為安全漏洞披露過程中可能涉及的組織機(jī)構(gòu)間關(guān)系.
圖4 安全漏洞公平裁決程序涉及組織機(jī)構(gòu)關(guān)系
對于供應(yīng)商來說,根據(jù)FIRST的產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)(Product Security Incident Response Team, PSIRT)服務(wù)框架[33]和計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)(Computer Security incident Response Team, CSIRT)服務(wù)框架[34]的要求,相關(guān)機(jī)構(gòu)應(yīng)盡快建立PSIRT和CSIRT,前者專注于產(chǎn)品的安全性,而后者專注于組織的整體安全性.2個團(tuán)隊(duì)就安全性問題與外部對接,并維護(hù)漏洞披露政策.
本節(jié)主要對目前安全漏洞披露制定面臨的問題與挑戰(zhàn)進(jìn)行分析,并期望得到一些有啟發(fā)的結(jié)論.
根據(jù)物聯(lián)網(wǎng)安全基金會(IOT Security Foundation, IOSFT)于2020的調(diào)查顯示[35],盡管該機(jī)構(gòu)已于2017年發(fā)布了安全漏洞披露最佳實(shí)踐[36],但在對330家公司的調(diào)查中,僅44家公司擁有某種形式的安全漏洞披露政策,結(jié)果顯示大量的供應(yīng)商還沒有意識到安全漏洞披露程序在其網(wǎng)絡(luò)安全體系中的重要地位.同時供應(yīng)商被認(rèn)為并不像安全研究人員一樣關(guān)注安全問題,且不能完全理解安全研究的真實(shí)意圖.供應(yīng)商應(yīng)盡快認(rèn)識到安全的重要性并充分信任研究人員,從而提升產(chǎn)品的安全性.
根據(jù)NTIA 的安全漏洞披露狀態(tài)和行動調(diào)查[37]顯示,盡管發(fā)現(xiàn)者最初計(jì)劃以負(fù)責(zé)任的方式公開安全漏洞,但由于令人失望的溝通,50%的人最終會選擇公開披露,95%的發(fā)現(xiàn)者期望能在問題解決之后得到供應(yīng)商的恢復(fù),但僅少數(shù)人能夠得到這樣的回復(fù).
從實(shí)踐的角度看,如果雙方的溝通中斷,安全漏洞披露的進(jìn)程將受到阻礙,有效的溝通可以幫助供應(yīng)商更好地處理安全風(fēng)險.
同樣根據(jù)NTIA安全漏洞披露態(tài)度和行動調(diào)查[37],53%的發(fā)現(xiàn)者表示希望供應(yīng)商至少認(rèn)可他們的貢獻(xiàn),僅極少數(shù)的15%的發(fā)現(xiàn)者期望獲得賞金或經(jīng)濟(jì)獎勵.賞金可以是紀(jì)念品或重大貢獻(xiàn)表彰的形式體現(xiàn),甚至是航空公司的飛行里程數(shù),并非需要經(jīng)濟(jì)上的獎勵.賞金并非是必要的,但卻是激勵組織外部安全研究的重要手段.
協(xié)調(diào)披露政策面臨的最大挑戰(zhàn)之一仍然是不確定的法律環(huán)境.以美國為例,美國反黑客法令《計(jì)算機(jī)欺詐與濫用法案》(Computer fraud and Abuse Act, CFAA 1986)[38],早期的司法定義非常寬泛,沒有對善意的安全研究加以定義.供應(yīng)商利用《數(shù)字千年版權(quán)法案》(The Digital Millennium Copyright Act, DMCA 1998)[39]阻礙安全研究,該法案將繞過受保護(hù)產(chǎn)品的訪問控制行為定義為犯罪行為.
目前這一環(huán)境正在逐漸改善,2016年10月針對《數(shù)字千年版權(quán)法案》的豁免發(fā)布[40],豁免的研究環(huán)境要求:
1) 誠信且善意的安全研究;
2) 研究需要在可控范圍;
3) 僅合法購買的適用于個人消費(fèi)者的設(shè)備.
目前已經(jīng)有供應(yīng)商在其安全漏洞披露政策中承諾保護(hù)研究人員,以Dropbox的安全漏洞披露政策[41]為例,其政策中規(guī)定:
1) 明確聲明歡迎進(jìn)行外部的安全研究;
2) 承諾不對遵從該政策的安全研究采取法律行動;
3) 不會以脅迫研究人員的姿態(tài)談判賞金問題.
NTIA安全漏洞披露態(tài)度和行動調(diào)查[37]通過3個指標(biāo)規(guī)定了政策制定的規(guī)范性:內(nèi)部審核、同行審核和ISO安全漏洞披露標(biāo)準(zhǔn)審核.結(jié)果顯示76%的公司會進(jìn)行內(nèi)部審核,一半以上的公司選擇同行審核,而僅20%的公司選擇ISO標(biāo)準(zhǔn)審核.盡管內(nèi)部審核已經(jīng)比不審核好很多,但是選擇ISO標(biāo)準(zhǔn)流程的審核會使政策有更低的錯誤率.
除了2個ISO安全漏洞披露標(biāo)準(zhǔn)[42-43],HackOne還發(fā)布了成熟度在線生成模型[44],該模型通過回答幾個問題來幫助組織快速生成標(biāo)準(zhǔn)化的安全漏洞披露政策.可以看出,未來安全漏洞披露政策標(biāo)準(zhǔn)化的趨勢會越來越明顯.
通過對比我國和其他國家成熟的安全漏洞披露政策,并從目前政策制定所面臨的挑戰(zhàn)來看,可以得到如下結(jié)論:
1) 發(fā)布安全漏洞披露政策應(yīng)該明確表示歡迎安全漏洞研究,而不應(yīng)該視外部安全研究為威脅,并應(yīng)給予安全研究人員一定的保護(hù);
2) 發(fā)布的披露政策應(yīng)該是容易訪問且無門檻的,對比最近開始流行的security.txt[45],該方案需要報(bào)告者具備一定的技術(shù)門檻;
3) 發(fā)布的披露政策應(yīng)對法律界限有明確的定義,應(yīng)明確表示遵守此政策的前提下,不追究漏洞披露和研究人員的法律責(zé)任;
4) 披露政策應(yīng)對披露細(xì)節(jié)有明確定義且應(yīng)標(biāo)準(zhǔn)化,避免產(chǎn)生歧義;
5) 建議我國政府機(jī)構(gòu)可以先行建立安全漏洞披露政策;
6) 各類組織應(yīng)加大對發(fā)現(xiàn)者的激勵,以促進(jìn)安全研究;
同時在政策制定時也應(yīng)對一些不利于安全漏洞披露的負(fù)面行為加以限制:
7) 發(fā)現(xiàn)者應(yīng)確保其報(bào)送的安全漏洞是新發(fā)現(xiàn)的,而不是為了騙取賞金而重復(fù)報(bào)送的;
8) CVD流程中禁止使用不安全的通信渠道,以防止造成安全漏洞信息的泄露;
9) 當(dāng)涉及多方的安全漏洞披露時,禁止一方在協(xié)商一致前就披露安全漏洞;
10) 另外在披露安全漏洞時禁止夸大其造成的安全威脅.
安全漏洞披露政策的健全與否對組織、用戶乃至國家的網(wǎng)絡(luò)安全具有重要的意義.標(biāo)準(zhǔn)、完善、低門檻的安全漏洞披露政策,有助于幫助漏洞發(fā)現(xiàn)者及時準(zhǔn)確地報(bào)告安全漏洞信息,并幫助組織在威脅發(fā)生前或發(fā)生時及時修補(bǔ)和緩解威脅.本文通過對當(dāng)前國際安全漏洞披露政策進(jìn)行分析對比研究,總結(jié)和歸納了各國政策的特點(diǎn),并在此基礎(chǔ)上得出一些啟發(fā)與建議,以期對我國安全漏洞披露起到拋磚引玉的作用.