FIRST更新多方漏洞披露指南

事件响应和安全团队论坛（FIRST）近日发布了更新的多方漏洞披露指南，在最佳实践手册中增加了明确的沟通、安全港条款和披露静默期等内容，以帮助简化多方协调漏洞披露流程。

FIRST是事件响应团队的国际联盟，其任务是促进安全最佳实践并维护广泛使用的CVSS评分系统。

FIRST先前发布的漏洞披露指南主要集中于两方之间的关系：利益相关者（供应商或组织）和漏洞发现者。但是，随着软件开发变得更加复杂并与供应链相连，CERT协调中心漏洞分析技术经理Art Manion解释说，更多方需要协调一致的漏洞披露做法。

多方漏洞披露

最新的FIRST多方漏洞披露指南针对涉及多方漏洞披露的任何人员——从安全研究人员到事件响应团队。本月初发布了更新后的建议（1.1版），以解决安全漏洞披露过程中多方应如何参与和合作的缺陷。

报告写道：

诸如充满活力的开源开发社区，漏洞赏金计划的泛滥以及（和）供应链复杂性增加等因素只是其中的一些复杂情况。

像Heartbleed这样的例子突出了多方协调和披露方面的挑战。

Heartbleed是OpenSSL中的一个严重漏洞，在2014年被首次披露在曝光时，约17％ （约50万）认证的安全Web服务器被认为是脆弱的。

该报告补充说：

该文档是当前最佳实践的集合，考虑了更复杂和典型的现实生活场景，这些场景超出了报告一个公司漏洞的单个研究人员的范围。

最佳实践

该文档包含有关如何实施最佳实践、策略和流程以协调漏洞披露的强烈建议。

它不同于通常为一方（厂商）编写的ISO标准，FIRST为供应链中所有可能的利益相关者提供了“实践指导”。

FIRST主席Serge Droz表示：

实际上没有偏差。与ISO标准相比，FIRST文件提供了更多可操作的指南和细节，并且这两个文件相互协调。

这些指南最终应该可以帮助现场人员做出更好的反应。

时间表和阈值

建议包括通过发布“可操作的公共脆弱性协调和披露政策与期望，包括披露的时间表和阈值”，在利益相关者与研究人员之间建立牢固的关系。

尽管大部分安全社区都遵循90天的披露时间表，这可能是Google的“Project Zero”最显著的特征，但FIRST不建议设定补救时间表，而是鼓励实施静默期。

其他建议包括在发现之前和之后保持供应商，漏洞发现者与其他方之间的清晰一致的通信。

该文件写道：

供应商应提供当前接受的漏洞披露联系机制，例如security@电子邮件地址和地址包含’/security’（/security）的网页。

所有各方都应提供信息，以帮助其他利益相关者评估与漏洞相关的严重性、优先级和风险。CVSS就是这样一种选择。

利益相关者的角色和沟通路径（图片来源：First.org）

保持信任

利益相关者应建立和保持信任，例如通过启动漏洞赏金计划或承诺安全避风港，并应避免在任何程度上升级，包括采取法律行动。

他们还应该对安全披露迅速做出反应，并在适当时任命一名协调员，“为研究人员、供应商和其他利益相关者提供额外的技术、影响和范围分析，尤其是在存在分歧时”。

如果需要，可以任命多个协调员，并任命一名“牵头协调员”以最大程度地减少混乱。

该文档还包括用例，这些用例阐明了从最佳情况到最坏情况，如何适当地处理多方安全性披露。

Droz指出，到目前为止，定期处理此类问题的供应商的反馈非常正面。

我很自豪FIRST能够将这些利益相关者召集在一起，共同编写这份非常重要的文件。

参考资料

FIRST多方漏洞披露指南：

https://www.first.org/global/sigs/vulnerability-coordination/multiparty/guidelines-v1.1