當安全研究者發(fā)現(xiàn)一個軟件產(chǎn)品漏洞后，***的漏洞披露方式是什么?軟件供應商又應該如何接收和響應漏洞披露?這類問題的解答正凸顯關切和重要，因為伴隨著信息軟件商品的涌現(xiàn)，隨之而來就是各種網(wǎng)絡安全漏洞。而在實際中，作為事件相關方，處理類似問題，或許需要更多的支撐數(shù)據(jù)和參考觀點。

因此，在美國國家電信與信息管理局(NTIA)的發(fā)起下，我們就“多方利益”相關的漏洞披露處理態(tài)度和方法，對一些安全研究者和技術運營商開展了調(diào)查。調(diào)查分三個工作組，作為成員單位，我們Rapid7負責關注漏洞披露處理的采用方式和意識驅動相關問題，即“意識與采用工作組”(Awareness and Adoption Working Group)的調(diào)查。

我們認為這項調(diào)查非常及時和重要，因為就目前來說，雖然漏洞披露不再是一個新話題，但是一些推薦性的漏洞處理方法還相對較少;另外，作為漏洞事件雙方，安全研究者和技術運營提供商由于缺乏相互了解，不斷導致沖突增多。調(diào)查的另一層目的還在于，了解一些觀點是否過時、被夸大或具有代表性。共有285位技術運營提供商代表和414位代表接受調(diào)查。

主要調(diào)查結果

安全研究者調(diào)查

絕大多數(shù)安全研究者(92%)都參與過某種形式的協(xié)調(diào)性漏洞披露活動;

安全研究者選擇公開的漏洞披露方式，主要原因在于對漏洞披露方式的失望，大多為圍繞與技術運營商的溝通問題;

60%的安全研究者表示，出于對法律訴訟的擔心，他們不會選擇直接把漏洞披露給技術運營商;

15%的安全研究者希望通過漏洞披露得到賞金，而70%希望與技術運營商定期就漏洞問題溝通。

技術運營商調(diào)查

• 接受調(diào)查的技術運營商可以分為”更成熟“和”不夠成熟“兩種，，其“更成熟”的占比達60%至80%;
• 大多數(shù)”更成熟“的運營商(76%)都想建立自己的漏洞處理機制，只有一小部分持觀望態(tài)度，或寄希望于一些國際指導標準;
• ”更成熟“的運營商認為，出于企業(yè)責任感和對客戶負責的態(tài)度，希望制訂漏洞披露政策;
• 33%的運營商則認為，漏洞處理機制應該是服務供應商的事。

漏洞披露處理的意義

隨著物聯(lián)網(wǎng)和生活中各式各樣網(wǎng)絡安全威脅的興起，我們看到了***的技術復雜度和連接性，在安全研究者和技術運營商之間，建立對漏洞的有效披露處理機制已經(jīng)變得尤為關鍵。

在未來，我們希望調(diào)查能幫助一些推薦性的漏洞實踐處理方法和意識培養(yǎng)的實施。目前，我們已經(jīng)看到了一些漏洞披露方面的顯著進步和變化，如《數(shù)字千年法案》對安全研究的豁免、美國食藥監(jiān)局(FDA)對醫(yī)療設備的售后網(wǎng)絡安全問題指導、美國國家公路交通安全管理局(NHTSA)對漏洞披露指導的建議，以及國防、航空、汽車、醫(yī)療等行業(yè)開展的漏洞披露和處理項目，這些都是關于漏洞披露被越顯重視的典型事例，都是漏洞披露和處理機制的***實踐探索。

調(diào)查數(shù)據(jù)釋放了一種信息：大多數(shù)受訪者表示他們認同漏洞協(xié)調(diào)處理帶來的好處，特別是，很多安全研究者和成熟的技術運營商愿意投入更多時間和資源來做這件事。

然而，仍然還有一些觀念和交流挑戰(zhàn)存在于安全研究者和運營商之間，***的部分來自于，60%的安全研究者對運營商采取法律訴訟的擔心，針對這些存在的問題，報告建議：

• 應該鼓勵更多的協(xié)調(diào)機制，來加強安全研究者和運營商之間的交流，而不是簡單直接向公眾公開披露。為保護安全研究者，應該從法律層面消除障礙，或通過法律或漏洞披露策略明確責任權利。成熟和不成熟的運營商都應該認真積極學習相關的國際標準，如ISO系列，其中就描述了軟件開發(fā)生命周期內(nèi)實施漏洞處理機制帶來的成本節(jié)約好處。