負責任的披露(英語:Responsible disclosure)是計算機安全或其他領域中的一種漏洞披露模型,它限制了漏洞披露的行為,以提供一段時間來修補或修繕即將披露的漏洞或問題。這一特點使之與完全披露模型不同。
 |
硬件和軟件的開發人員通常需要一些時間和資源才能修復新發現的錯誤。而黑客和計算機安全科學家認為,讓公眾了解高危害的漏洞是其社會責任。隱瞞這些問題可能導致虛假的安全感。為了避免這種情況,相關各方經過協調,就修復漏洞和防止未來發生任何損害達成了一致意見。根據漏洞的潛在影響、開發和應用緊急補丁或變通方案所需要的預計時間,以及其他因素,有限披露時限可能在幾天到幾個月不等。
負責任的披露未能滿足那些希望籍此獲得經濟補償的安全研究員[來源請求],向預計提供賠償的供應商報告漏洞可能被視為敲詐勒索。雖然安全漏洞市場已經形成,但安全漏洞的商業化仍然是與安全漏洞披露相關的熱門話題。在如今,商業漏洞市場有兩個主要的參與者,iDefense在2003年啟動了漏洞貢獻者計劃(VCP),而TippingPoint在2005年啟動了零日計劃(ZDI)。上述組織遵循所購買材料的負責任披露流程。2003年3月到2007年12月期間,影響微軟和蘋果公司的漏洞平均有7.5%由VCP或ZDI處理。 [1]通過支付程序錯誤賞金來支持負責任的披露的獨立公司包括Facebook、Google、Mozilla和Barracuda Networks。[2]
披露政策
Google Project Zero有90天的披露截止日期,從通知存在安全漏洞的提供商時起算,漏洞的詳細信息將在90天後與防禦社區公開分享,如果提供商發布了修復程序則會更快。[3]
ZDI有120天的披露截止日期,從收到提供商的響應時起算。[4]
例子
通過「負責任的披露」解決的安全漏洞:
- MD5碰撞攻擊,展示如何創建假的CA證書,1周[5]
- 星巴克禮品卡雙重消費/競爭條件,製造免費的額外積分,10天(Egor Homakov) [6]
- Dan Kaminsky發現的DNS緩存投毒,5個月[7]
- MBTA vs. Anderson,麻省理工學院學生發現的馬薩諸塞州地鐵安全漏洞,5個月[8]
- 奈梅亨拉德伯德大學攻破的MIFARE Classic卡安全性能,6個月[9]
- Meltdown漏洞,影響Intel x86微處理器和部分基於ARM的微處理器的硬件漏洞,7個月。[10]
- Spectre漏洞,分支預測器的實現造成的硬件漏洞,影響現代微處理器的推測執行,允許惡意進程訪問其他程序的虛擬內存內容,7個月。[10]
- ROCA漏洞,影響一個英飛凌程序庫和YubiKey生成的RSA密鑰,8個月。[11]
參見
參考資料
Wikiwand - on
Seamless Wikipedia browsing. On steroids.