管理员
  
注册时间2015-2-6
在线时间707 小时
QQ
 UID
 帖子
 精华
21
 威望
500
 金币
47848
 贡献
5000
 阅读权限
200
积分
在线时间
707 小时
最后登录
2022-8-11
|
在讨论软件漏洞的正当揭秘行为时,首先需要提到的是此类事宜的管理机构:CERT协调中心(CERT Coordination Center,CERT/CC)。CERT/CC是由联邦提供经费支持的一个研发机构,专注于Intemet安全及相关问题的研发。CERT/CC创建于1988年,当时是为了应对Intemet上的第一次病毒大爆发。多年来该组织不断地发展演化,承担了越来越多的责任,包括为公开和交流技术漏洞建立和维护业界标准。在2000年,该机构发布了—项策略i其中概述了在将软件漏洞信息发布给公众时的做法,但这种做法是否合适仍然存在争议。该策略包括以下方面:
在报告给CERT/CC后的45天内,将公开完整的黑客漏洞信息。即使软件供应商没能开发出补丁或者适当的补救措施,这个时间范围也不会改变。唯一例外的情况是,威胁十分严重,或者需要修改某个标准。
CERT/CC将把漏洞立即通知给软件供应商,以便其尽快给出解决方案。除问题描述外,CERT/CC还会将报告漏洞的人员的姓名一起公布,除非报告人明确要求不公开自己的姓名。
45天内,CERT/CC将把漏洞的当前状态告知报告人,但不会泄露任何机密信息。
CERT/CC表示,它们创建这个黑客漏洞策略的明确目的在于将潜在的威胁通知公众,同时给软件供应商留出适当的时间来解决问题。该独立机构还进一步指出,向公众公开漏洞信息的
所有决定是在考虑整个群体的最大利益后做出的。
45天这个时间范围引起了一些争议,因为用户们普遍认为漏洞信息的这个保密时间有些太久了。而另一方面,软件供应商却要承受在短时间内创建解决方案的压力,而且报道产品缺陷的新闻出现之后,他们的声誉也要受到冲击。CERT/CC最终得出结论,45天足够软件供应商做好应对措施,同时也能兼顾用户的利益。
当CERT/CC宣布他们的策略时,存在一个普遍的质疑:“如果真的没有可用的补丁为什么还要公开这些信息,之所以提出这个问题,是因为人们担心,如果在还没有可用补丁的情况下公开一个黑客漏洞,那么黑客将处于一个有利的位置,可以利用技术中的缺陷来攻陷用户的系统。:但是CERT/CC坚持认为,如果没有强制的最终日期,则供应商就没有足够的动力来解决问题。很多时候,软件开发商会等到后续版本发布时才提供漏洞的修复措施,这会使用户处于一个不利的位置。
为兼顾供应商的利益及其解决问题的视角,CERT/CC采取了以下措施:
CERT/CC将付出诚意和努力,在发布漏洞信息之前总是先通知他们,不会让他们措手不及。
在严重的情况下,CERT/CC会寻求供应商的反馈,并在揭秘黑客漏洞的声明中包含这些反馈。当供应商不同意漏洞评估的结果时,也会同时发布供应商的观点,这样双方都有表达自己意见的机会。
在公开漏洞信息前,将把信息发布给可能会受到影响的所有相关各方。可以接触到机密信息的各方包括漏洞涉及的供应商、可以提供有益见解的专家、Intemet安全联盟的成员,以及会被漏洞严重影响的群体。
虽然在CERT开发并实现了其模型后,还有其他的模型问世,但是CERT通常仍然是bug发现者和供应商之间的“中间人”,它会致力于帮助相关各方尽快修复黑客漏洞,并强制涉及的各方满足一定的要求。
|
|