當安全研究者發現一個軟件產品漏洞后，最好的漏洞披露方式是什么？軟件供應商又應該如何接收和響應漏洞披露？這類問題的解答正凸顯關切和重要，因為伴隨著信息軟件商品的涌現，隨之而來就是各種網絡安全漏洞。而在實際中，作為事件相關方，處理類似問題，或許需要更多的支撐數據和參考觀點。

因此，在美國國家電信與信息管理局（NTIA)的發起下，我們就“多方利益”相關的漏洞披露處理態度和方法，對一些安全研究者和技術運營商開展了調查。調查分三個工作組，作為成員單位，我們Rapid7負責關注漏洞披露處理的采用方式和意識驅動相關問題，即“意識與采用工作組”（Awareness and Adoption Working Group）的調查。（點此獲取調查報告）

我們認為這項調查非常及時和重要，因為就目前來說，雖然漏洞披露不再是一個新話題，但是一些推薦性的漏洞處理方法還相對較少；另外，作為漏洞事件雙方，安全研究者和技術運營提供商由于缺乏相互了解，不斷導致沖突增多。調查的另一層目的還在于，了解一些觀點是否過時、被夸大或具有代表性。共有285位技術運營提供商代表和414位代表接受調查。

主要調查結果

安全研究者調查

絕大多數安全研究者（92%）都參與過某種形式的協調性漏洞披露活動；

安全研究者選擇公開的漏洞披露方式，主要原因在于對漏洞披露方式的失望，大多為圍繞與技術運營商的溝通問題；

60%的安全研究者表示，出于對法律訴訟的擔心，他們不會選擇直接把漏洞披露給技術運營商；

15%的安全研究者希望通過漏洞披露得到賞金，而70%希望與技術運營商定期就漏洞問題溝通。

技術運營商調查

接受調查的技術運營商可以分為”更成熟“和”不夠成熟“兩種，，其“更成熟”的占比達60%至80%；

大多數”更成熟“的運營商（76%）都想建立自己的漏洞處理機制，只有一小部分持觀望態度，或寄希望于一些國際指導標準；

”更成熟“的運營商認為，出于企業責任感和對客戶負責的態度，希望制訂漏洞披露政策；

33%的運營商則認為，漏洞處理機制應該是服務供應商的事。

漏洞披露處理的意義

隨著物聯網和生活中各式各樣網絡安全威脅的興起，我們看到了前所未有的技術復雜度和連接性，在安全研究者和技術運營商之間，建立對漏洞的有效披露處理機制已經變得尤為關鍵。

在未來，我們希望調查能幫助一些推薦性的漏洞實踐處理方法和意識培養的實施。目前，我們已經看到了一些漏洞披露方面的顯著進步和變化，如《數字千年法案》對安全研究的豁免、美國食藥監局（FDA）對醫療設備的售后網絡安全問題指導、美國國家公路交通安全管理局（NHTSA)對漏洞披露指導的建議，以及國防、航空、汽車、醫療等行業開展的漏洞披露和處理項目，這些都是關于漏洞披露被越顯重視的典型事例，都是漏洞披露和處理機制的最佳實踐探索。

調查數據釋放了一種信息：大多數受訪者表示他們認同漏洞協調處理帶來的好處，特別是，很多安全研究者和成熟的技術運營商愿意投入更多時間和資源來做這件事。

然而，仍然還有一些觀念和交流挑戰存在于安全研究者和運營商之間，最大的部分來自于，60%的安全研究者對運營商采取法律訴訟的擔心，針對這些存在的問題，報告建議：

應該鼓勵更多的協調機制，來加強安全研究者和運營商之間的交流，而不是簡單直接向公眾公開披露。為保護安全研究者，應該從法律層面消除障礙，或通過法律或漏洞披露策略明確責任權利。成熟和不成熟的運營商都應該認真積極學習相關的國際標準，如ISO系列，其中就描述了軟件開發生命周期內實施漏洞處理機制帶來的成本節約好處。

**參考來源：Rapid7，FB小編clouds編譯，轉載請注明來自FreeBuf.COM。