物聯網安全基金會(IoTSF)推出了一個旨在幫助物聯網供應商接收、評估、管理和緩解漏洞報告的在線平臺。VulnerableThings.com網站旨在簡化漏洞的報告和管理，同時幫助物聯網供應商遵守新的消費者物聯網安全標準和法規。

[[347517]]

作為全球首個適用于消費者物聯網網絡安全的標準，新的ETSI EN 303 645規范要求物聯網供應商(可能包括設備制造商或進口商/分銷商)發布清晰透明的漏洞披露政策;建立內部漏洞管理程序;公開漏洞報告的聯系信息;持續監控和識別產品中的安全漏洞。

世界各地的政府，包括英國、澳大利亞、新加坡、芬蘭以及美國加利福尼亞州和俄勒岡州，都已經發布了行為準則、產品標簽制度或制定了與該標準相一致的立法。實施接受脆弱性報告的手段是這些舉措的一個共同特點。如果沒有報告、管理和解決漏洞的機制(如協同漏洞披露(CVD))，消費者物聯網產品的安全性會隨著時間的推移而降低，攻擊或濫用的風險也會增加。

“漏洞管理是物聯網網絡衛生的一個基本要素，因此，世界各國政府和監管機構將此作為一項強制性要求也就不足為奇了，”物聯網安全基金會常務董事約翰·穆爾說。

“作為物聯網安全方面的世界權威機構，IoTSF發布了漏洞披露優秀實踐和行業狀況報告。我們的結論是，行業必須采取更多措施保護客戶和自己的業務。因此，我們認為有必要推動這一至關重要的安全實踐，并致力于通過推出易受攻擊的東西平臺，使之盡可能簡單——尤其是對于那些缺乏經驗和缺乏資源的公司。該服務代理研究人員和供應商之間的良好溝通，并指導雙方完成整個過程。我們正在試用這項服務，以測試可能的需求，并為用戶獲取反饋。”

漏洞可能會危及用戶安全和個人數據，并可能使物聯網供應商違反數據保護法規。供應商對報告的漏洞(無論是來自消費者還是專業安全研究人員)不作出回應，都可能導致不受控制地公開披露該漏洞，這將增加壞人攻擊的風險。修復漏洞可迅速降低用戶、設備、網絡和物聯網制造商的風險。

英國政府數字基礎設施部長馬特·沃曼評論道：“我歡迎這一新舉措，幫助工業界提高物聯網設備的安全性，促進我們蓬勃發展的數字經濟，同時保護在線用戶。我們希望每個人都有信心，他們購買的互聯網連接產品具有更強的安全性，并正在努力制定這一領域的立法，以幫助實現這一目標。”

VulnerableThings.com網站旨在提供現成的、用戶友好的漏洞管理工具和其他有價值的成員資源，包括政策模板、問題解決指南和專家顧問名錄，以幫助物聯網制造商為新法規做好準備并保持合規性。CVD必須成為成功的物聯網供應商文化的重要組成部分，并且需要得到企業董事會、合規官、產品經理、產品開發經理、產品安全、供應鏈經理和公共關系團隊的理解和支持。

訂閱了易受攻擊的東西的制造商可以訪問一個儀表板，該儀表板將指導他們完成漏洞解決過程，并促進與報告者的溝通。如果產品中報告了來自未注冊服務的供應商的漏洞，將向制造商的公共電子郵件地址發送警報，然后制造商將有機會通過訪問VulnerableThings安全地訪問漏洞報告的詳細信息。

訪問VulnerableThings.com網站2021年1月31日前免費提供。訂閱這項服務還可以為協調的披露公告提供專業支持。

而漏洞可以由任何個人匿名報告，通過注冊VulnerableThings.com網站，為安全研究人員提供了一個儀表板，允許他們監控解決他們向不同制造商報告的漏洞的進展情況。促進供應商和安全研究人員之間的對話將有助于物聯網生態系統的成功。