如何处理漏洞和安全漏洞的公开披露

根据451 Research进行的一项由安全测试公司Veracode委托进行的民意调查显示，90％的安全专业人士表示，安全漏洞的披露对公众有利。

安全研究人员在发现软件程序或其他技术中的安全漏洞时应采取什么行动？这个问题经常导致有关各方之间产生分歧，争论和冲突。研究人员是否应该首先联系开发者或供应商，立即揭示错误的存在？在开发人员有机会修复它之前，应该保密吗？研究人员和开发人员是否应该向公众报告错误，以便在修复程序可用之前警告他们问题？安全提供商Veracode周四发布的一项研究调查了如何报告安全漏洞以及行业专业人士如何权衡这一问题的棘手问题。

看：  10个危险的app漏洞需要注意（免费PDF）  （TechRepublic） 

该调查由Veracode委托并由451 Research进行，调查了一组安全和技术专业人员，其中包括开发人员，IT安全人员，第三方渗透测试人员以及负责各种职责的独立安全研究人员。

为了减少追捕，90％的受访者表示他们认为安全漏洞的披露是一种公共利益，他们认为识别这些漏洞可以提高透明度，并且对每个人的整体安全态势都是积极的。然而，发现错误的大多数研究人员并不认为他们应该在没有事先通知开发人员的情况下自行揭示结果。确定安全漏洞的受访者中只有9％表示他们采用了完整的披露途径，这意味着他们公开披露了该漏洞，而不是向开发者或供应商报告。

人们认为，当研究人员报告其产品中的错误时，供应商和软件公司并不总是能够快速或有效地采取行动。但是，接受调查的公司中有75％表示他们确实有一个接收研究人员的错误报告的既定流程。他们中的大多数人表示，他们将此过程视为应有的谨慎方面，但至少有三分之一的人承认他们的动机是害怕完全公开披露该漏洞。

另一种看法是发现错误的研究人员和负责修复错误的供应商并不总是能够顺利地共同发布或共享有关错误的信息。然而，约有37％的受访组织表示他们在过去12个月内收到了研究人员的主动披露报告。在该组中，90％的漏洞是在研究人员和组织之间以协调的方式披露的。

但即使在报告了这个漏洞之后，研究人员也不希望被排除在外，并且通常是出于提高安全性的愿望。大约57％的研究人员表示，他们希望开发人员在漏洞修复时得到通知，而47％的人希望定期更新修复程序，37％的人希望能够在修复后立即验证修复程序。只有18％的研究人员表示他们希望通过他们的努力获得报酬，只有16％的人表示他们希望获得对他们发现的认可。

到目前为止，结果描绘了研究人员与开发人员或供应商之间的错误报告和协作的漂亮画面。但是，这个过程中存在一些问题。接受未经请求的错误报告的政策在不同公司之间仍然不一致，因此研究人员可能不确定如何处理错误发现。此外，报告过程本身并不一定能够快速解决这个缺陷，至少在研究人员看来不是这样。

大约65％的安全研究人员表示，他们希望在向开发人员或供应商报告错误后的不到60天内进行修复。然而，根据Veracode的说法，这个截止日期可能过于激进和不切实际，发现70％的缺陷在发现后一个月仍然存在，并且在发现三个月后仍有近55％存活。

提供付款的承诺，bug赏金通常被视为诱使研究人员和其他人寻找和报告错误的有用方式。但现实是，这些赏金并不一定能实现他们的承诺。大约47％的组织表示他们已经实施了错误赏金计划，但他们收到的错误报告中只有19％来自赏金计划。由于大多数研究人员似乎更多地依赖于对安全软件而非金钱的渴望，因此Veracode认为供应商应该花更少的资金来获取虚假奖励，更多的是安全软件开发，这些软件开发在公共产品出现之前就会发现漏洞。

“研究显示的调整非常积极，”Veracode首席技术官兼联合创始人Chris Wysopal在一份新闻稿中表示。“然而，挑战在于漏洞披露政策非常不一致。如果研究人员不确定如何在发现漏洞时继续进行，就会使组织面临安全威胁，使犯罪分子有机会利用这些漏洞。今天，我们同时拥有这两个漏洞。在开发过程中查找和减少软件中的错误的工具和流程。但即使使用这些工具，每天都会发现新的漏洞。强大的披露政策是组织安全战略的必要组成部分，并允许研究人员与组织合作减少暴露。

为了收集本报告的数据，451 Research使用美国，德国，法国，意大利和英国的一系列行业和组织的1,000名受访者的样本，对2018年12月至2019年1月的调查进行了调查。受访者需要对漏洞披露模型有一定程度的熟悉程度。