CERT目前采取的工作流程

admin

      在讨论软件漏洞的正当揭秘行为时，首先需要提到的是此类事宜的管理机构：CERT协调中心(CERT Coordination Center，CERT/CC)。CERT/CC是由联邦提供经费支持的一个研发机构，专注于Intemet安全及相关问题的研发。CERT/CC创建于1988年，当时是为了应对Intemet上的第一次病毒大爆发。多年来该组织不断地发展演化，承担了越来越多的责任，包括为公开和交流技术漏洞建立和维护业界标准。在2000年，该机构发布了—项策略i其中概述了在将软件漏洞信息发布给公众时的做法，但这种做法是否合适仍然存在争议。该策略包括以下方面：
    在报告给CERT/CC后的45天内，将公开完整的黑客漏洞信息。即使软件供应商没能开发出补丁或者适当的补救措施，这个时间范围也不会改变。唯一例外的情况是，威胁十分严重，或者需要修改某个标准。
     CERT/CC将把漏洞立即通知给软件供应商，以便其尽快给出解决方案。除问题描述外，CERT/CC还会将报告漏洞的人员的姓名一起公布，除非报告人明确要求不公开自己的姓名。
     45天内，CERT/CC将把漏洞的当前状态告知报告人，但不会泄露任何机密信息。
     CERT/CC表示，它们创建这个黑客漏洞策略的明确目的在于将潜在的威胁通知公众，同时给软件供应商留出适当的时间来解决问题。该独立机构还进一步指出，向公众公开漏洞信息的
所有决定是在考虑整个群体的最大利益后做出的。
    45天这个时间范围引起了一些争议，因为用户们普遍认为漏洞信息的这个保密时间有些太久了。而另一方面，软件供应商却要承受在短时间内创建解决方案的压力，而且报道产品缺陷的新闻出现之后，他们的声誉也要受到冲击。CERT/CC最终得出结论，45天足够软件供应商做好应对措施，同时也能兼顾用户的利益。
    当CERT/CC宣布他们的策略时，存在一个普遍的质疑：“如果真的没有可用的补丁为什么还要公开这些信息，之所以提出这个问题，是因为人们担心，如果在还没有可用补丁的情况下公开一个黑客漏洞，那么黑客将处于一个有利的位置，可以利用技术中的缺陷来攻陷用户的系统。：但是CERT/CC坚持认为，如果没有强制的最终日期，则供应商就没有足够的动力来解决问题。很多时候，软件开发商会等到后续版本发布时才提供漏洞的修复措施，这会使用户处于一个不利的位置。
    为兼顾供应商的利益及其解决问题的视角，CERT/CC采取了以下措施：
     CERT/CC将付出诚意和努力，在发布漏洞信息之前总是先通知他们，不会让他们措手不及。
     在严重的情况下，CERT/CC会寻求供应商的反馈，并在揭秘黑客漏洞的声明中包含这些反馈。当供应商不同意漏洞评估的结果时，也会同时发布供应商的观点，这样双方都有表达自己意见的机会。
     在公开漏洞信息前，将把信息发布给可能会受到影响的所有相关各方。可以接触到机密信息的各方包括漏洞涉及的供应商、可以提供有益见解的专家、Intemet安全联盟的成员，以及会被漏洞严重影响的群体。

       虽然在CERT开发并实现了其模型后，还有其他的模型问世，但是CERT通常仍然是bug发现者和供应商之间的“中间人”，它会致力于帮助相关各方尽快修复黑客漏洞，并强制涉及的各方满足一定的要求。