最佳练习剧本扩展到包括清除通讯,安全港条款和公开禁运
事件响应和安全团队的论坛(首先)发布了更新的指南,以协助和简化多方协调脆弱性披露。
首先是事件响应小组的国际联盟,该团队将自己任命为促进安全性最佳实践并维护广泛使用CVSS评分系统。
非营利组织发布的先前漏洞披露准则主要集中在两方之间的关系上:利益相关者(供应商或组织)和错误查找者。
但是,随着软件开发变得更加复杂并与供应链有联系,协调的脆弱性披露实践需要发展,Art Manion,CERT协调中心的脆弱性分析技术经理。
多方脆弱性披露
一个新的指南首先与国家电信和信息管理局(NTIA)合作制作。
该文件针对参与多方漏洞披露的任何人 - 从安全研究人员到事件响应小组。
更新的建议(1.1版)于本月早些时候揭幕,以解决有关在安全漏洞披露过程中多方应如何参与和合作的缺点。
该报告写道:“诸如充满活力的开源开发社区,漏洞赏金计划的扩散以及供应链复杂性的增加之类的因素只是其中的一些并发症。”
“例如heartbleed强调这些协调和披露挑战。”
这Heartbleed Bug,在2014年首次披露了OpenSSL的严重缺陷。在接触时,人们认为约有17%(约500,000个)经过认证的安全网络服务器很容易受到伤害。beplay体育能用吗
该报告补充说:“本文档是最佳当前实践的集合,它们考虑了更复杂,更典型的现实生活中的情况,这些场景范围超过了单个研究人员,向单个公司报告了脆弱性。”
最佳实践
该文档包括有关如何实施最佳实践,政策和流程以进行协调漏洞披露的有力建议。
它不同于通常为一个小组(供应商)编写的ISO标准,重点是双边披露。
相反,它为供应链中的所有可能利益相关者提供了“实用指导”。
第一椅Serge Droz告诉每日swbeplay2018官网ig:“实际上没有偏差。第一个文件给出了比ISO标准更具可行的指导和细节,并且两个文档彼此和谐。
“该文档的版本1简要介绍了话语过程中涉及的各方的角色和职责,然后讨论了示例。
“更新的版本添加了更多概念信息,并阐明了最佳当前实践。从本质上讲,它实现了自成立第一版以来所学的经验教训。
Droz补充说:“最终,这些准则应帮助该领域的人们做出更好的反应。”
时间表和阈值
建议包括通过发布“可行的公共脆弱性协调,披露政策和期望,包括时间表和披露门槛”来建立利益相关者和研究人员之间的牢固关系。
虽然很大一部分安全界遵守了90天的披露时间表,也许最著名的是Google的观察到项目零,首先不建议安排安排的时间表,而是鼓励禁运时期。
其他建议包括在发现之前和之后保持供应商,脆弱性查找器和其他各方之间的清晰和一致的通信。
文档写道:“供应商应提供当前接受的联系机制,例如Security@电子邮件地址和'SLASH SECURICE'(/SECURICE)网页。”beplay体育能用吗
它继续说:“各方应提供信息,以帮助其他利益相关者评估与漏洞相关的严重性,优先级和风险。CVSS就是一种选择。”
利益相关者角色和沟通路径(图片来源:first.org)
保持信任
利益相关者应建立和维持信任,例如通过启动错误赏金计划或有前途的安全港,应避免在任何程度上升级 - 包括法律行动。
他们还应该迅速对安全披露做出回应,并应任命协调员(如果适当),以“向研究人员,供应商和其他利益相关者提供其他技术,影响和范围分析,尤其是在存在分歧的情况下”。
如果需要,可以任命多个协调员,尽管应该将一个命名为“首席协调员”以最大程度地减少混乱。
该文档还包括规定如何适当处理多方安全披露的用例,从最佳情况到最坏情况。
DROZ指出,到目前为止,反馈对定期处理此类问题的供应商非常积极。
他补充说:“我很自豪,首先能够将这些利益相关者聚集在一起来制作这份非常重要的文件。”
