漏洞披露——开放还是保密?

Sammi888

作者：趋势科技

在五月底，两位 Google 安全工程师公布了 Google 总部关于零时差漏洞和披露的新政策。他们强烈建议，已经出现在外的零时差漏洞信息，厂商应该要在被通知后不超过七天内公布出来。理想状况下，公告或修补程序都应该由厂商提供，但他们也表示，如果厂商没有动作，研究人员应该要自己公布详细的信息。

这是个非常积极的作法。以微软为例，对于重要修补程序并没有设定公布期限：这需要在质量和时效性间寻求一个平衡点。要平衡这两者并不容易。一方面，仍在活跃中的可攻击漏洞会让恶意软件作者知道厂商的漏洞；另一方面，快速推出的修补程序可能会对应用程序和整体系统有负面影响，让其更加脆弱。

几乎每个安全厂商都曾经因为不小心而出现误报。我们有许多安全措施，例如白名单比对，但莫非定律总是会生效。这让我们的产业因此而影响了用户的计算机。操作系统厂商在进行修补时要更加小心。他们需要有适当的质量保证，因为修补程序将会影响到数百万台的计算机。

在我看来，七天后披露的作法是合理而可行的，但期待在这时间内推出修补程序就不合理了。让我们来看看 Google 自己会怎么做。目前，有一个 Google Android 木马程序正在扩散，它可以在“设备管理程序”中隐藏自己，让安全软件无法看到或试图清除。这有可能是因为 Android 内的一个安全漏洞造成。Google 可以在七天内解决这个问题吗？让我们拭目以待…

更大的问题不只是应该多久被披露和修补漏洞，而是漏洞信息应该如何被披露。如果你相信最近的一次媒体报导，美国政府现在是恶意软件最大的买主。我们要如何确保受影响的厂商能够被告知，并且这些漏洞并不会用在攻击用途，例如 Stuxnet 一样？我们如何确保这些漏洞不会出现在地下黑市，最终被用于广泛传播的威胁中？

这里需要做的是针对如何处理被发现的漏洞进行一次较大规模的讨论。让所有相关领域的人员都加入其中：开发商、政府和研究人员，借此来决定我们在未来要如何处理安全漏洞。

＠原文出处：Vulnerability Disclosure – Open or Private?





本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！
                       
爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro

蓝核

我们有许多安全措施，例如白名单比对，但莫非定律总是会生效。

这句话的使用……好奇怪

明月丶舞白衣

蓝核 发表于 2013-7-5 17:44
这句话的使用……好奇怪

墨菲定律