原标题:漏洞揭露调查:法律威胁让6成资安研究人员犹豫是否回报漏洞
美国商务部旗下的国家电信暨资讯管理局(National Telecommunications and Information Administration,NTIA)本周公布《漏洞揭露的态度与行为》(Vulnerability Disclosure Attitudes and Actions)研究报告,指称有6成的研究人员因担心法律威胁而犹豫是否要回报漏洞。儘管近7成研究人员会先向业者漏洞,但有32%因为业者未在限期内回应而直接公布漏洞。
参与此一调查的对象囊括了414民安全研究人员与285家业者,企图了解漏洞揭露与处理的各个面向,以找出漏洞揭露的最佳实作準则。
在针对安全研究人员的调查部份,在发现产品漏洞时,有67%的研究人员会直接向业者回报 ,并有14%会向第三方合作机构回报,另有11%提报给抓漏奖励专案,只有4%会公开揭露漏洞,另有4%不採取任何行动。
即使绝大多数的研究人员会秉持责任揭露的精神,先向业者提报而不直接公布漏洞,然而双方之间的沟通却经常发生问题,有54%的研究人员在与业者沟通时曾感到挫折,并有50%因为这些挫折而想把漏洞公诸于世,虽然有95%的研究人员希望业者解决问题之后能够知会他,可是真正被知会的只有58%,另有32%因为业者未在限期内回应而直接公布漏洞。
在调查研究人员拒绝或犹豫是否要回报漏洞的原因时,有6成的研究人员会担心面临法律风险而犹豫是否要揭露漏洞。
报告分析,假设研究人员发现责任揭露还是可能带来法律问题并造成伤害,那他们可能会偏离原来的选择,增加此事的法律确定性也许才是促进研究人员採用最佳準则的方法。
对于研究人员在回报漏洞之后的期待,有70%只希望双方可定期交流,57%希望可参与测试、53%想被记名、15%希望有报酬,另有14%想保持匿名。
在针对技术供应商与营运商的调查则着重在最佳实作準则、漏洞处理程序、揭露程序及预防措施等,发现业者对于处理漏洞的态度与方法差异颇大,因此区分为较成熟的业者与较不成熟的业者。
研究也发现,多数的业者表示他们知道有漏洞处理準则,但调查却显示知易行难。较成熟的业者中,会审视ISO标準的佔了41%,会检查合作伙伴程序的也有59%,完成内部审查的则达76%。但较不成熟的业者中执行上述作法的只分别佔了14%、16%与17%。
当问及较成熟业者建立漏洞揭露政策的原因时,有4/5说是因为客户在意安全问题,另有2/3的较成熟业者表示部署漏洞处理程序是因这是企业社会责任的一部份,还有54%说漏洞揭露与处理程序减少了他们开发软体产品及服务的成本与行销经费。NTIA指出,此一报告有许多部份令人讶异,例如他们发现抓漏奖励对研究人员来说最大的好处也许不是获得实质的报酬,而是建立了形式化的揭露与沟通程序。
相关:
日本进口食品随附的酱油包来自管制地区引起食品安全疑虑,行政院长林全要求相关单位反省现行管理做法。卫福部次长何启功今天(16日)上午表示,过去几天以来,已针对源头、边境、市场等三方面进行查核补强工作,何启功
花了两年,陶晶莹利用清晨破晓时间,伏案桌前用笔跟稿纸写出第6本书“X,为何我站在雪地上”,字里行间流露出她跟李李仁的鹣鲽情深,李李仁说:“每天朝夕相处,偶尔也见她骂脏话,没想到她笔下文字充满感情、厚度,
苹果macOS Sierra 10.12.2修补72个安全漏洞,不再显示电池剩余时间
示意图,与新闻事件无关。 图片来源: Apple 苹果于本周释出了macOS Sierra 10.12.2,主要改善该桌面作业系统的稳定度、相容性及安全性,同时修补了72个安全漏洞。此外,苹果没说的是,该版本还取消了macOS显示剩余
Adobe修补17个Flash漏洞,包含已被攻击的零时差漏洞
示意图。 Adobe于周二(12/13)更新Adobe Flash Player,修补了17个安全漏洞,其中的CVE-2016-7892是已遭受攻击的零时差漏洞。当中有16个安全漏洞属于释放后使用(use-after-free)漏洞、缓冲区溢位(buffer overf
见笑转生气?资安公司善意揭露漏洞反遭资诚发律师信警告不准公开
示意图,与新闻事件无关。 图片来源: ESNC 面对善意的资安漏洞揭露者,您的企业会怎幺做?本身也提供资安评估服务的全球知名会计与顾问服务业者资诚(PwC),竟然选择以律师警告信禁止善意揭露者对外公开其软体漏洞,