FIRST更新多方漏洞披露指南
責(zé)編:gltian |2020-05-20 10:54:54事件響應(yīng)和安全團隊論壇(FIRST)近日發(fā)布了更新的多方漏洞披露指南,在最佳實踐手冊中增加了明確的溝通、安全港條款和披露靜默期等內(nèi)容,以幫助簡化多方協(xié)調(diào)漏洞披露流程。
FIRST是事件響應(yīng)團隊的國際聯(lián)盟,其任務(wù)是促進安全最佳實踐并維護廣泛使用的CVSS評分系統(tǒng)。
FIRST先前發(fā)布的漏洞披露指南主要集中于兩方之間的關(guān)系:利益相關(guān)者(供應(yīng)商或組織)和漏洞發(fā)現(xiàn)者。但是,隨著軟件開發(fā)變得更加復(fù)雜并與供應(yīng)鏈相連,CERT協(xié)調(diào)中心漏洞分析技術(shù)經(jīng)理Art Manion解釋說,更多方需要協(xié)調(diào)一致的漏洞披露做法。
多方漏洞披露
最新的FIRST多方漏洞披露指南針對涉及多方漏洞披露的任何人員——從安全研究人員到事件響應(yīng)團隊。本月初發(fā)布了更新后的建議(1.1版),以解決安全漏洞披露過程中多方應(yīng)如何參與和合作的缺陷。
報告寫道:
諸如充滿活力的開源開發(fā)社區(qū),漏洞賞金計劃的泛濫以及(和)供應(yīng)鏈復(fù)雜性增加等因素只是其中的一些復(fù)雜情況。
像Heartbleed這樣的例子突出了多方協(xié)調(diào)和披露方面的挑戰(zhàn)。
Heartbleed是OpenSSL中的一個嚴(yán)重漏洞,在2014年被首次披露在曝光時,約17% (約50萬)認(rèn)證的安全Web服務(wù)器被認(rèn)為是脆弱的。
該報告補充說:
該文檔是當(dāng)前最佳實踐的集合,考慮了更復(fù)雜和典型的現(xiàn)實生活場景,這些場景超出了報告一個公司漏洞的單個研究人員的范圍。
最佳實踐
該文檔包含有關(guān)如何實施最佳實踐、策略和流程以協(xié)調(diào)漏洞披露的強烈建議。
它不同于通常為一方(廠商)編寫的ISO標(biāo)準(zhǔn),F(xiàn)IRST為供應(yīng)鏈中所有可能的利益相關(guān)者提供了“實踐指導(dǎo)”。
FIRST主席Serge Droz表示:
實際上沒有偏差。與ISO標(biāo)準(zhǔn)相比,F(xiàn)IRST文件提供了更多可操作的指南和細(xì)節(jié),并且這兩個文件相互協(xié)調(diào)。
這些指南最終應(yīng)該可以幫助現(xiàn)場人員做出更好的反應(yīng)。
時間表和閾值
建議包括通過發(fā)布“可操作的公共脆弱性協(xié)調(diào)和披露政策與期望,包括披露的時間表和閾值”,在利益相關(guān)者與研究人員之間建立牢固的關(guān)系。
盡管大部分安全社區(qū)都遵循90天的披露時間表,這可能是Google的“Project Zero”最顯著的特征,但FIRST不建議設(shè)定補救時間表,而是鼓勵實施靜默期。
其他建議包括在發(fā)現(xiàn)之前和之后保持供應(yīng)商,漏洞發(fā)現(xiàn)者與其他方之間的清晰一致的通信。
該文件寫道:
供應(yīng)商應(yīng)提供當(dāng)前接受的漏洞披露聯(lián)系機制,例如security@電子郵件地址和地址包含’/security’(/security)的網(wǎng)頁。
所有各方都應(yīng)提供信息,以幫助其他利益相關(guān)者評估與漏洞相關(guān)的嚴(yán)重性、優(yōu)先級和風(fēng)險。CVSS就是這樣一種選擇。
利益相關(guān)者的角色和溝通路徑(圖片來源:First.org)
保持信任
利益相關(guān)者應(yīng)建立和保持信任,例如通過啟動漏洞賞金計劃或承諾安全避風(fēng)港,并應(yīng)避免在任何程度上升級,包括采取法律行動。
他們還應(yīng)該對安全披露迅速做出反應(yīng),并在適當(dāng)時任命一名協(xié)調(diào)員,“為研究人員、供應(yīng)商和其他利益相關(guān)者提供額外的技術(shù)、影響和范圍分析,尤其是在存在分歧時”。
如果需要,可以任命多個協(xié)調(diào)員,并任命一名“牽頭協(xié)調(diào)員”以最大程度地減少混亂。
該文檔還包括用例,這些用例闡明了從最佳情況到最壞情況,如何適當(dāng)?shù)靥幚矶喾桨踩耘丁?/p>
Droz指出,到目前為止,定期處理此類問題的供應(yīng)商的反饋非常正面。
我很自豪FIRST能夠?qū)⑦@些利益相關(guān)者召集在一起,共同編寫這份非常重要的文件。
參考資料
FIRST多方漏洞披露指南:
https://www.first.org/global/sigs/vulnerability-coordination/multiparty/guidelines-v1.1
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧