漏洞难题:改进披露过程

漏洞披露过程包括报告软件或硬件中的安全缺陷，并且可能很复杂。负责软件或硬件的组织与发现漏洞的安全研究人员之间的合作可能会很复杂。

在这篇博客中，我们将探讨漏洞披露过程、相关各方以及他们如何进行有效合作。

许多漏洞都是由独立行动的安全从业者发现的。研究人员的动机可以有很大的不同:与供应商建立关系;收集昆虫赏金;或者受到媒体的关注。对公司来说，信息披露通常会造成障碍，需要解决问题，提醒受影响的客户，并管理媒体。

为了达到适当的安全状态，组织必须处理许多层:工具、系统、过程、法规、培训和程序等等。漏洞披露计划(VDP)为组织提供了另一层保护——特别是处理可能包括不寻常或创造性攻击媒介的意外情况。随着网络攻击的不断发展，犯罪分子变得越来越有创造力，企业被暴露在风险之下，而且往往没有准备好面对攻击的后果，因此鼓励有节制地披露漏洞至关重要。

作为一个CVE命名机构(CNA)我们的安全研究团队在发现和披露高影响漏洞方面拥有丰富的经验，在披露过程中，我们就供应商和研究人员之间的微妙关系分享信息和建议。

供应商的风险

每个组织都是软件供应链和其他数百家公司合作。由于供应链的强度取决于其最薄弱的安全环节，因此，在进行补救和修补之前，一个被利用的安全漏洞可能会破坏他们的运营，并造成收入和声誉损失。

公司通常缺乏内部措施来识别和缓解安全问题。在某些行业，如连接设备和物联网，这个问题变得越来越具有挑战性，因为打补丁更难。此外，对这些系统进行手动渗透测试和安全审计可能会耗费大量时间和资源，并且不能很好地扩展。因此，漏洞可能会被忽视或长时间未修补。在工业控制系统、汽车ecu、医疗设备或关键基础设施等软件系统中发现的漏洞，如果公开的漏洞没有修补，可能会产生监管后果。不用说，这是最严重的经济和声誉损失。

安全研究人员可以暴露供应商未知的新漏洞，从而在攻击者发现它们之前启动修复安全漏洞的途径。然而，受影响的组织和安全研究人员之间的冲突可能导致无法及时减轻暴露，从而为攻击者打开了利用的窗口。

改善研究人员与组织之间的关系

为了减少这些风险，组织必须建立漏洞披露计划的范围和条款，为研究人员提供安全报告漏洞的明确方法，并在适当的时间框架内对报告做出回应。组织还必须与研究人员和其商业生态系统中的其他人公开交流。及时发布安全通知、补丁和变更日志将减少误解和冲突，并培养供应商和客户之间的信任。

安全利益相关者还必须为无冲突的披露过程做出贡献。研究人员有时会披露“技术”漏洞，虽然理论上是有效的，但攻击者无法利用它们。将这些信息传达给供应商可能会造成不必要的恐慌，并使供应商更不容易接受——甚至公开反对其他可能造成实际损害的漏洞披露。通过在这方面更加明智，研究人员更有可能得到组织的支持来修复漏洞。

研究人员必须确保他们的测试是合法的，并在整个漏洞披露过程中获得授权，同时尊重隐私法规。他们还必须采取一切合理的措施与组织联系，并为他们提供足够的细节来验证和重现漏洞，同时保持漏洞的具体技术细节的信任和安全。最重要的是，研究人员不应该因为报告在漏洞赏金计划之外发现的漏洞而要求支付报酬或奖励。

研究人员必须意识到，他们的安全报告可能由缺乏安全背景的开发人员或IT人员处理。因此，他们可能不熟悉许多安全概念和术语。这就是为什么安全研究人员应该清晰而简洁地概述漏洞的细节和影响，这样他们的报告就可以被普遍理解，即使是那些没有安全背景的人。

随着软件数量、种类和复杂性的不断增加，漏洞披露对于保证企业和消费者的安全将变得越来越重要。由于每天都会发现数十个漏洞，公司必须为外部各方提供明显而简单的方法来报告漏洞。随着漏洞披露过程成为普遍做法，组织可以通过积极寻找和修复漏洞来让客户安心。有关协调披露过程的更多信息，请参阅此论文来自CMU CERT/CC而这些ENISA指南．

漏洞披露有助于防止数据泄露对企业造成的巨大伤害:关闭运营、破坏供应链、加剧公关噩梦，最终导致新功能交付减少、收入损失和品牌声誉受损。实施有效和高效的漏洞披露流程可以降低网络罪犯利用安全漏洞的风险。VDP为组织和研究人员创建了一个共同工作的系统，在漏洞被利用之前发现漏洞，保护重要数据不被利用，并领先网络罪犯一步。

除了发现并负责任地披露漏洞作为我们日常活动的一部分之外，JFrog安全研究团队还通过授权组织通过自动安全分析发现漏洞来增强软件安全性。有关JFrog DevOps平台安全特性的更多信息和更新了解有关JFrog安全产品的更多信息．