FIRST更新多方漏洞披露指南

FIRST更新多方漏洞披露指南

黑客安全访客2021-10-11 13:24:008003A+A-

事件响应和安全团队论坛(FIRST)近日发布了更新的多方漏洞披露指南,在最佳实践手册中增加了明确的沟通、安全港条款和披露静默期等内容,以帮助简化多方协调漏洞披露流程。

FIRST是事件响应团队的国际联盟,其任务是促进安全最佳实践并维护广泛使用的CVSS评分系统。

FIRST先前发布的漏洞披露指南主要集中于两方之间的关系:利益相关者(供应商或组织)和漏洞发现者。但是,随着软件开发变得更加复杂并与供应链相连,CERT协调中心漏洞分析技术经理Art Manion解释说,更多方需要协调一致的漏洞披露做法。

多方漏洞披露

最新的FIRST多方漏洞披露指南针对涉及多方漏洞披露的任何人员——从安全研究人员到事件响应团队。本月初发布了更新后的建议(1.1版),以解决安全漏洞披露过程中多方应如何参与和合作的缺陷。

报告写道:

诸如充满活力的开源开发社区,漏洞赏金计划的泛滥以及(和)供应链复杂性增加等因素只是其中的一些复杂情况。

像Heartbleed这样的例子突出了多方协调和披露方面的挑战。

Heartbleed是OpenSSL中的一个严重漏洞,在2014年被首次披露在曝光时,约17% (约50万)认证的安全Web服务器被认为是脆弱的。

该报告补充说:

该文档是当前最佳实践的集合,考虑了更复杂和典型的现实生活场景,这些场景超出了报告一个公司漏洞的单个研究人员的范围。

最佳实践

该文档包含有关如何实施最佳实践、策略和流程以协调漏洞披露的强烈建议。

它不同于通常为一方(厂商)编写的ISO标准,FIRST为供应链中所有可能的利益相关者提供了“实践指导”。

FIRST主席Serge Droz表示:

实际上没有偏差。与ISO标准相比,FIRST文件提供了更多可操作的指南和细节,并且这两个文件相互协调。

这些指南最终应该可以帮助现场人员做出更好的反应。

时间表和阈值

建议包括通过发布“可操作的公共脆弱性协调和披露政策与期望,包括披露的时间表和阈值”,在利益相关者与研究人员之间建立牢固的关系。

尽管大部分安全社区都遵循90天的披露时间表,这可能是Google的“Project Zero”最显著的特征,但FIRST不建议设定补救时间表,而是鼓励实施静默期。

其他建议包括在发现之前和之后保持供应商,漏洞发现者与其他方之间的清晰一致的通信。

该文件写道:

供应商应提供当前接受的漏洞披露联系机制,例如security@电子邮件地址和地址包含’/security’(/security)的网页。

所有各方都应提供信息,以帮助其他利益相关者评估与漏洞相关的严重性、优先级和风险。CVSS就是这样一种选择。

利益相关者的角色和沟通路径(图片来源:First.org)

保持信任

利益相关者应建立和保持信任,例如通过启动漏洞赏金计划或承诺安全避风港,并应避免在任何程度上升级,包括采取法律行动。

他们还应该对安全披露迅速做出反应,并在适当时任命一名协调员,“为研究人员、供应商和其他利益相关者提供额外的技术、影响和范围分析,尤其是在存在分歧时”。

如果需要,可以任命多个协调员,并任命一名“牵头协调员”以最大程度地减少混乱。

该文档还包括用例,这些用例阐明了从最佳情况到最坏情况,如何适当地处理多方安全性披露。

Droz指出,到目前为止,定期处理此类问题的供应商的反馈非常正面。

我很自豪FIRST能够将这些利益相关者召集在一起,共同编写这份非常重要的文件。

参考资料

FIRST多方漏洞披露指南:

https://www.first.org/global/sigs/vulnerability-coordination/multiparty/guidelines-v1.1

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 囤梦绮筵2022-06-03 13:35:12
  • “牵头协调员”以最大程度地减少混乱。该文档还包括用例,这些用例阐明了从最佳情况到最坏情况,如何适当地处理多方安全性披露。Droz指出,到目前为止,定期处理此类问题的供应商的反馈非常
  • 惑心鸽屿2022-06-04 00:43:11
  • 节,并且这两个文件相互协调。这些指南最终应该可以帮助现场人员做出更好的反应。时间表和阈值建议包括通过发布“可操作的公共脆弱性协调和披露政策与期望,包括披露的时间表和阈值”,在利益相关者与研究人员之间建立牢固的关系。尽管大部分安全社区都遵循9
  • 辞眸里予2022-06-03 19:56:41
  • 协调员,并任命一名“牵头协调员”以最大程度地减少混乱。该文档还包括用例,这些用例阐明了从最佳情况到最坏情况,如何适当地处理多方安全性披露。Droz指出,到目前为止,定期处理此类问题的供应商的反馈非常正面。我很自豪FIRST能够将这些利益相关者召集在一起,共同编写这份非常重要的文

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理