微軟日前發(fā)布，將對(duì)此前“負(fù)義務(wù)的漏洞披露（Responsible Disclosure）”方法進(jìn)行調(diào)劑，采用新的漏洞披露方法，從而能夠?qū)α闳章┒垂┙o更加和諧一致的響應(yīng)。

這一新的漏洞披露方法被稱為“和諧的漏洞披露（Coordinated Vulnerability Disclosure，CVD）”，與微軟負(fù)義務(wù)的漏洞披露政策相比變更不大。CVD政策將敦促安全研究人員向軟件供給商或美國(guó)盤算機(jī)應(yīng)急籌備小組報(bào)告發(fā)明的安全漏洞。根據(jù)CVD政策的規(guī)定，軟件供給商和安全研究人員將會(huì)就漏洞修復(fù)期限達(dá)成一致。微軟負(fù)責(zé)可信盤算安全業(yè)務(wù)的總經(jīng)理Matt Thomlinson在微軟安全響應(yīng)中心的博客中表現(xiàn)，公司將努力使漏洞披露過程盡可能的透明。

Thomlinson指出，“義務(wù)當(dāng)然依舊重要，但這應(yīng)當(dāng)是由安全研究人員、安全產(chǎn)品供給商和其他軟件供給商組成的全部社區(qū)的共同義務(wù)。在進(jìn)步盤算生態(tài)系統(tǒng)的總體安全性方面，安全社區(qū)的每個(gè)成員都應(yīng)施展自己的作用。”

不久前，谷歌的安全研究人員Tavis Ormandy公開披露了Windows XP中存在的零日漏洞，并發(fā)布了針對(duì)該漏洞的概念驗(yàn)證代碼。隨后，微軟發(fā)布了這一新的漏洞披露方法。幾天前，微軟發(fā)表聲明警告說，其已經(jīng)檢測(cè)到試圖針對(duì)該漏洞的惡意攻擊。

Thomlinson表現(xiàn)，微軟和其他軟件制作商有義務(wù)與報(bào)告該漏洞的安全研究人員進(jìn)行溝通。軟件制作商承諾將供給及時(shí)更新并斷定預(yù)定解決日期。另外，Thomlinson還指出，遵照這一新的漏洞披露政策的安全研究人員可以提前發(fā)布包含有限細(xì)節(jié)的安全公告，但不應(yīng)當(dāng)供給概念驗(yàn)證代碼。

Thomlinson在博客中寫到，“軟件供給商和漏洞發(fā)明者需要密切協(xié)作以修復(fù)漏洞；應(yīng)當(dāng)進(jìn)行廣泛的努力，以及時(shí)對(duì)安全漏洞做出響應(yīng)；一旦主動(dòng)攻擊被公開披露，最好的對(duì)策應(yīng)當(dāng)是集中力量減少攻擊帶來(lái)的迫害和提出暫時(shí)性解決計(jì)劃——即使那樣，軟件供給商和漏洞發(fā)明者仍然應(yīng)當(dāng)盡可能地和諧一致。”

安全研究人員如是說

盡管微軟新的漏洞披露方法獲得了一些專家的支撐，但也有研究人員聲稱，新政策不會(huì)對(duì)漏洞報(bào)告方法產(chǎn)生太大影響。

漏洞管理公司Rapid7的首席安全官、安全漏洞檢測(cè)工具M(jìn)etasploit的滲透測(cè)試框架總設(shè)計(jì)師、安全研究社區(qū)的長(zhǎng)期擁戴者H.D. Moore認(rèn)為，微軟的聲明不過是“試圖把持關(guān)于負(fù)義務(wù)的漏洞披露的爭(zhēng)辯”。Moore指出，微軟新的漏洞披露政策仍然沒有什么效率。漏洞發(fā)明者最終有權(quán)決定是公開披露一個(gè)漏洞，還是悄悄將其報(bào)告給軟件供給商。

Moore表現(xiàn)，“微軟值得稱道的處所在于其承認(rèn)漏洞的存在，但在及時(shí)修復(fù)漏洞方面做的還不夠好。微軟似乎并未承認(rèn)供給商不遵照這些規(guī)定。而供給商從來(lái)都沒有遵照過這些規(guī)定。”

Moore強(qiáng)調(diào)，軟件供給商保持對(duì)漏洞披露的把持的唯一合法道路是，與安全研究人員簽訂合同，通過某種情勢(shì)的嘉獎(jiǎng)打算向漏洞發(fā)明者支付獎(jiǎng)金。

在一篇詳細(xì)介紹這一新的漏洞披露方法的博文中，微軟安全響應(yīng)中心生態(tài)系統(tǒng)策略團(tuán)隊(duì)的資深安全策略專家Katie Moussouris列出了一些支撐這一理念變更的安全專家的評(píng)論。Moussouris指出，這一漏洞披露方法的轉(zhuǎn)變是“對(duì)‘負(fù)義務(wù)的漏洞披露’的修正，為微軟和安全研究人員密切協(xié)作供給了一種預(yù)期和過程。即使在漏洞披露理念未能完整同步變更的情況下，各方在討論漏洞披露時(shí)也不必因應(yīng)用一個(gè)容易讓人曲解的術(shù)語(yǔ)而產(chǎn)生歧義。”

非營(yíng)利性信息安全公共組織Open Security Foundation的總裁、安全監(jiān)控產(chǎn)品供給商Tenable Network Security的Nessus安全漏洞掃描器專家Brian Martin表現(xiàn)，微軟新的漏洞披露方法試圖在必定程度上解決與“負(fù)義務(wù)的漏洞披露”有關(guān)的極端問題，并使其內(nèi)部政策更加透明。

Martin說，“關(guān)于負(fù)義務(wù)的漏洞披露的爭(zhēng)辯由來(lái)已久，并可能持續(xù)持續(xù)下去。我認(rèn)為，這一漏洞披露方法的轉(zhuǎn)變并不意味著微軟盼望把持所有的漏洞披露道路，而是表明微軟將如何處理漏洞披露和修復(fù)問題�！�