标签：CVE 披露研究供应商实践漏洞人员观察

实践中负责任漏洞披露的观察

The facade of the Finnish parliament reflected on the window of the Finnish Parliament Annex. Image © Lari Huttunen.

○ 在过去的几个月里，我一直在与两位才华横溢的芬兰安全研究人员合作汤姆·科斯基和乔娜·霍伊卡拉让他们的漏洞研究结果发表并得到认可。

在场边，我还对负责任的漏洞披露流程如何工作（或不工作）进行了一些观察。从研究人员的角度来看，即使您的发现是坚如磐石且重要的，这也可能非常令人沮丧。

研究人员：第一个障碍往往是最陡峭的

通常作为研究人员，你要克服的第一个也是最大的障碍是如何与供应商合作，让他们意识到、复制、修复和发布你发现的漏洞。这可能需要时间，在某些情况下甚至会导致供应商将头埋在沙子里，就像一个鸵鸟并假装漏洞不存在。

你有时可以通过打击来战胜他；
因为耐心永远是人类最大的美德。

用不屈不挠的心打败一个你可以摧毁的人。
耐心是人类最大的美德（原文如此）。

- 卡托语录 1.38

当然，供应商的开发流程越成熟，他们通常对您的发现做出反应的速度越快越好。我并不是说所有供应商都没有希望，远非如此，但打折和诋毁研究人员的工作并不是他们可以采取的最佳方法，尤其是当研究结果可能对他们的整体业务产生严重影响时。

如果您代表供应商并且您没有既定的产品安全跟踪，那么入门不需要很复杂。第一步可以很简单，就像通过一个名为安全.txt 正如 RFC 9116 中定义的那样。我认为这个 RFC 最重要的动机如下：

…安全研究人员如何找到组织的联系信息和漏洞披露实践以报告漏洞。

除了显而易见的，即联系信息之外，对你来说困难的一点是制定一个漏洞披露政策，这将帮助研究人员弄清楚如何 最好的 和你一起工作。例如，编写策略的一个很好的起点是由 CISA .它面向美国政府机构，但应该很容易适应任何希望建立的组织。

我认为漏洞披露政策 (VDP) 的一些最重要的方面是以下部分：

这样做会帮助你上路，但魔鬼在细节中。关于漏洞披露政策需要理解的一件重要事情是，它应该反映协调漏洞披露的最佳实践，化学气相沉积 .请记住，您的 VDP 不是 NDA，也不是双方签署和遵守的合同。此外，您不应该试图在您的政策中强加与漏洞协调方面的既定规范相悖的条款。

例如，如果您的政策对可以谈论的问题施加了限制后它已被修复，它可能不利于最终目标，这通常需要您在 CVD 中完成以下步骤：

最后一点很重要，这样即使可能不再是您的客户的用户也可以了解问题并缓解问题。例如，这些可能是客户，他您的软件，需要了解它。

引用 CISA 漏洞披露政策模板：

该政策描述 什么系统和类型的研究 受本政策保障， 如何发送给我们 漏洞报告，以及多久我们要求安全研究人员在公开披露漏洞之前等待。

最重要的是，世界需要在发现（并修复）漏洞后了解这些漏洞。作为供应商，您认真对待事情的最好证明之一就是针对漏洞申请 CVE。这与是否需要公开漏洞无关；它是关于 什么时候 他们公开。

除了威胁参与者之外，隐藏安全问题对任何人都没有帮助，因为当他们攻击您或您的客户时，他们不会关心您的策略。

为您的安全问题分配 CVE 非常重要，这样全世界和您的用户可以：

我是一个名为的独立安全博客的编辑公众暴露 .六月下旬，我收到了 Joona 写的一篇非常有趣的文章的初稿。经过几轮简单的编辑后，我同意 Joona 和 Tomi 的意见，我们将在 2022-07-12 星期二发布博客文章，这恰好是 Patch Tuesday。 （我们通常在补丁星期二发布。）

发布他们发现的漏洞的详细信息很重要，以便 MITRE 可以为他们分配 CVE。供应商没有完成上文详述的 CVD 步骤 4，因此研究人员的唯一选择是自己申请 CVE。

我不打算在这里深入研究细节，因为你最好阅读邮政自己。

标签：CVE,披露,研究,供应商,实践,漏洞,人员,观察
From： https://www.cnblogs.com/amboke/p/16704110.html