負責任的披露

負責任的披露（英語：Responsible disclosure）是計算機安全或其他領域中的一種漏洞披露模型，它限制了漏洞披露的行為，以提供一段時間來修補或修繕即將披露的漏洞或問題。這一特點使之與完全披露（英語：Full disclosure (computer security)）模型不同。

硬件和軟件的開發人員通常需要一些時間和資源才能修復新發現的錯誤。而黑客和計算機安全科學家認為，讓公眾了解高危害的漏洞是其社會責任。隱瞞這些問題可能導致虛假的安全感（英語：Security theater）。為了避免這種情況，相關各方經過協調，就修復漏洞和防止未來發生任何損害達成了一致意見。根據漏洞的潛在影響、開發和應用緊急補丁或變通方案所需要的預計時間，以及其他因素，有限披露時限可能在幾天到幾個月不等。

負責任的披露未能滿足那些希望籍此獲得經濟補償的安全研究員^{[來源請求]}，向預計提供賠償的供應商報告漏洞可能被視為敲詐勒索。雖然安全漏洞市場已經形成，但安全漏洞的商業化仍然是與安全漏洞披露相關的熱門話題。在如今，商業漏洞市場有兩個主要的參與者，iDefense在2003年啟動了漏洞貢獻者計劃（VCP），而TippingPoint（英語：TippingPoint）在2005年啟動了零日計劃（ZDI）。上述組織遵循所購買材料的負責任披露流程。2003年3月到2007年12月期間，影響微軟和蘋果公司的漏洞平均有7.5%由VCP或ZDI處理。 ^[1]通過支付程序錯誤賞金（英語：Bug bounty）來支持負責任的披露的獨立公司包括Facebook、Google、Mozilla和Barracuda Networks（英語：Barracuda Networks）。^[2]

Vendor-sec（英語：Vendor-sec）是一個「負責任的披露」郵件列表。許多計算機應急響應小組（CERT）在協調負責任的披露。

披露政策

Google Project Zero有90天的披露截止日期，從通知存在安全漏洞的提供商時起算，漏洞的詳細信息將在90天後與防禦社區公開分享，如果提供商發布了修復程序則會更快。^[3]

ZDI有120天的披露截止日期，從收到提供商的響應時起算。^[4]

例子

通過「負責任的披露」解決的安全漏洞：

• MD5碰撞攻擊，展示如何創建假的CA證書，1周^[5]
• 星巴克禮品卡雙重消費/競爭條件，製造免費的額外積分，10天（Egor Homakov） ^[6]
• Dan Kaminsky（英語：Dan Kaminsky）發現的DNS緩存投毒，5個月^[7]
• MBTA vs. Anderson（英語：MBTA vs. Anderson），麻省理工學院學生發現的馬薩諸塞州地鐵安全漏洞，5個月^[8]
• 奈梅亨拉德伯德大學攻破的MIFARE Classic卡安全性能，6個月^[9]
• Meltdown漏洞，影響Intel x86微處理器和部分基於ARM的微處理器的硬件漏洞，7個月。^[10]
• Spectre漏洞，分支預測器的實現造成的硬件漏洞，影響現代微處理器的推測執行，允許惡意進程訪問其他程序的虛擬內存內容，7個月。^[10]
• ROCA漏洞（英語：ROCA vulnerability），影響一個英飛凌程序庫和YubiKey生成的RSA密鑰，8個月。^[11]

參見

• 吹哨人
• 信息敏感性（英語：Information sensitivity）
• 白帽黑客
• 計算機應急響應小組

參考資料

1. Stefan Frei, Dominik Schatzmann, Bernhard Plattner, Brian Trammel. Modelling the Security Ecosystem - The Dynamics of (In)Security. 2009 [2019-04-27]. （原始內容存檔於2019-04-27）.
2. 存档副本. [2019-04-27]. （原始內容存檔於2012-03-06）.
3. Feedback and data-driven updates to Google’s disclosure policy. Project Zero. 2015-02-13 [2018-11-17]. （原始內容存檔於2021-05-15）.
4. Disclosure Policy. www.zerodayinitiative.com. [2018-11-17]. （原始內容存檔於2021-02-25）.
5. MD5 collision attack that shows how to create false CA certificates. [2019-04-27]. （原始內容存檔於2021-05-07）.
6. Hacking Starbucks for unlimited coffee. [2019-04-27]. （原始內容存檔於2019-04-18）.
7. Dan Kaminsky discovery of DNS cache poisoning (PDF). [2019-04-27]. （原始內容存檔 (PDF)於2012-07-07）.
8. MIT students find vulnerability in the Massachusetts subway security. [2019-04-27]. （原始內容存檔於2016-03-18）.
9. Researchers break the security of the MIFARE Classic cards (PDF). [2019-04-27]. （原始內容存檔 (PDF)於2021-03-18）.
10. Project Zero: Reading privileged memory with a side-channel. [2019-04-27]. （原始內容存檔於2019-10-01）.
11. The Return of Coppersmith’s Attack: Practical Factorization of Widely Used RSA Moduli （頁面存檔備份，存於網際網路檔案館）, Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec,Vashek Matyas, November 2017