多年以来,软件行业一直推行披露弱点的行为准则。Mozilla公司首席安全长官Window Snyder在华盛顿召开的ShmooCon黑客大会上参加小组讨论时说,所谓“负责任的披露”行为的确起了一些作用,但是安全问题的研究人员依然对问题的处理过程拥有掌控权。
Snyder说:“研究人员拥有全部的权利。他们发现问题后就拥有了评判厂家的响应是否及时的控制权。”
近年来对漏洞的披露一直是个热门话题。软件行业提倡将漏洞公诸于众之前首先进行内部披露,并留出时间来先行解决问题。这种方法在业内被称为“负责任的披露”。毕竟尽早披露漏洞可能会给网络入侵者实施入侵以及降低厂家声誉的提供机会。
遵守行业指导方针的安全研究人员经常会因为软件厂家不及时的响应而感到落寞。另外一个经常被讨论的话题就是用来研究修补方案的时间以及对于发布安全警报的研究人员来说可被视为“值得信任的”的时间。
过去曾在微软供职的Snyder说:“软件厂家有切实的责任对他们所收到的报告做出响应。”
但是并非所有的人都对这种披露方式买帐。参加小组讨论的安全软件厂家Immunity公司的Dave Aitel说,这是软件厂家设置的陷阱。他说:“负责任的披露是一个推销用的词汇。负责任的披露是微软以及其他一些大软件厂家手中的筹码,他们的目的就是要控制过程。”
Aitel的观点是除虫猎人们应该将这些情况出售给他们,而不是将其披露给厂家。Immunity公司付费购买安全漏洞的详细情况,并将这些信息用于公司的安全产品。他们的产品中有能够用来进入计算机和网络进行渗透测试的工具。
安全审查企业Veracode的创始人及首席技术官Chris Wysopal并不同意所谓除虫猎人总占上风的说法。他说:“我们看到了很多威胁,经常遭到法律事务威胁的滋味可不好受。”
TippingPoint安全研究企业经理Rohit Dhamankar说,如果一家企业要通过法律手段来发泄对于安全研究企业的不满,那么这家企业就是一个没有自知之明的企业。TippingPoint主营的是防止入侵的软件产品。
Dhamankar说“有些厂商比较成熟,比如Mozilla 和微软,也有一些企业对于良好的措施毫无概念。TippingPoint公司也从一些安全研究人员那里购买bug信息,就曾经遭到一家著名的网络门户软件厂家的法律威胁。
为了获得超越对手的竞争优势,Immunit和TippingPoint这样的企业都购买bug信息,这样他们的产品就能够抢先一步,在其他产品以及官方补丁发布之前发现问题。
Wysopal认为如果不对公众披露,漏洞就不会得到修补。他说:“负责任的做法是将所发现的漏洞通知厂家,但是如果不威胁说要将其公诸于众,厂家就不会采取任何行动。是唯一能够使漏洞得到修补的方法。”
Mozilla公司的Snyder说30天对于软件厂家来说是一个比较合理的提出解决方案的时限,并且呼吁除虫猎人们遵守负责任的揭发漏洞行为规范。
"我欣赏他们正从事的工作,我也赞同应在全世界都知道这个安全缺陷之前,提前一点披露漏洞,但是我更希望能有30天的期限,我会尽我所能。”
(责任编辑:张思童)
打印文档
推荐好友 
返回顶部
增大字体 
减少字体