漏洞难题:改进披露过程

漏洞披露过程涉及报告软件或硬件中的安全缺陷，可能很复杂。负责软件或硬件的组织和发现漏洞的安全研究人员之间的合作可能很复杂。

在本博客中，我们将探讨漏洞披露过程、相关各方以及他们如何进行有效合作。

许多漏洞是由安全从业者独立行动发现的。研究人员的动机可能千差万别:与供应商建立关系;收集臭虫赏金;或者受到媒体的关注。对公司来说，信息披露往往会在前进的道路上制造障碍，需要解决问题，提醒受影响的客户，并管理媒体。

要实现适当的安全态势，组织必须处理多个层面:工具、系统、过程、规则、培训和过程，等等。漏洞披露计划(VDP)为组织提供了另一层保护——特别是应对可能包括不寻常或创造性攻击载体的意外情况。随着网络攻击的不断发展，犯罪分子变得越来越有创造力，企业面临着风险，往往没有准备好面对攻击的后果，因此鼓励有控制地披露漏洞至关重要。

作为一个CVE命名机构(CNA)我们有一个在发现和披露高影响漏洞方面拥有丰富经验的安全研究团队，我们正在分享关于供应商和研究人员在披露过程中微妙关系的信息和建议。

供应商面临的风险

每个组织都是软件供应链与其他数百家公司合作。由于供应链的强大程度取决于其最薄弱的安全环节，因此，在进行补救和修补之前，利用安全漏洞可能会破坏其运营，并造成收入和声誉损失。

公司通常缺乏识别和缓解安全问题的内部措施。在一些行业，如连接设备和物联网，这个问题变得越来越具有挑战性，因为打补丁更加困难。此外，这些系统的手动渗透测试和安全审计可能是时间和资源密集型的，而且不能很好地扩展。因此，漏洞可能不被注意到，或在很长一段时间内不进行修补。如果公开的漏洞没有进行修补，那么在工业控制系统、汽车ecu、医疗设备或关键基础设施等软件系统中发现的漏洞可能会产生监管后果。不用说，这是最严重的经济和声誉损失。

安全研究人员可以暴露供应商不知道的新漏洞，从而在攻击者发现它们之前启动修复安全漏洞的路径。但是，受影响的组织和安全研究人员之间的冲突可能导致不能及时减少暴露，从而为攻击者的利用打开了窗口。

改善研究人员和组织之间的关系

为了减少这些风险，组织必须建立漏洞披露计划的范围和条款，为研究人员提供一个明确的方法来安全地报告漏洞，并在适当的时间框架内对报告作出响应。企业还必须与研究人员和商业生态系统中的其他人进行公开交流。及时发布安全建议、补丁和变更日志将减少误解和冲突，并培养供应商和客户之间的信任。

安全利益攸关方还必须为无冲突的披露过程作出贡献。研究人员有时会披露“技术”漏洞，虽然理论上是有效的，但攻击者无法利用这些漏洞。将这些信息传达给供应商可能会造成不必要的恐慌，并使供应商更不愿意接受——甚至公开反对其他可能造成实际损害的漏洞披露。通过在这方面更加明智，研究人员更有可能从组织那里获得漏洞修复的支持。

研究人员必须确保他们的测试是合法的，并在漏洞披露过程中得到授权，同时尊重隐私法规。他们还必须采取一切合理的措施与组织联系，并为其提供足够的详细信息，以便验证和再现漏洞，同时对漏洞的具体技术细节进行保密和安全。最重要的是，研究人员不应该要求在漏洞赏金计划之外报告任何漏洞的报酬或奖励。

研究人员必须意识到，他们的安全报告可能由缺乏安全背景的开发人员或IT人员处理。因此，他们可能不熟悉许多安全概念和术语。这就是为什么安全研究人员应该清晰简洁地概述漏洞的细节和影响，这样他们的报告就可以被普遍理解，即使是那些没有安全背景的人。

随着软件的数量、种类和复杂性的不断增加，漏洞披露对于保证企业和消费者的安全将变得越来越重要。由于每天都会发现数十个漏洞，公司必须为外部方提供明显而简单的方法来报告漏洞。随着漏洞披露过程成为普遍的实践，组织可以通过积极地寻找和修复漏洞来为客户提供安心的服务。有关协调披露过程的其他信息，请参阅本文来自CMU CERT/CC的论文而这些由ENISA指南．

漏洞披露有助于防止漏洞可能对企业造成的巨大伤害:关闭业务、破坏供应链、加剧公关噩梦，最终导致交付的新功能减少、收入损失和品牌声誉受损。实现一个有效和高效的漏洞披露过程可以减少安全漏洞被网络犯罪分子利用的风险。VDP为组织和研究人员创建了一个系统，让他们可以一起工作，在漏洞被利用之前找到漏洞，并保护基本数据不被利用——并领先于网络犯罪分子一步。

除了将发现和负责任地披露漏洞作为我们日常活动的一部分外，JFrog安全研究团队还通过授权组织通过自动安全分析发现漏洞来提高软件安全性。有关JFrog DevOps平台安全特性的更多信息和更新了解更多关于JFrog安全产品的信息．