文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

《网络产品安全漏洞管理规定》出台,漏洞披露者的紧箍咒?

2024-12-03 01:09

关注

随着《规定》的尘埃落地,对漏洞披露者来说,有哪些“坑”需要规避?对网络产品提供者来说,又有哪些“责”需要尽?

[[411633]]

漏洞披露者:合规披露坚守正义也要保护自己

网络安全行业中的攻防对抗始终摆脱不了“漏洞”的牵制,在与“黑产”较量的过程中,以防漏洞为核心的网络白色产业应运而生,恶意黑客利用漏洞牟取私利,白帽子争分夺秒负隅顽抗,只为守卫网络安全的边界。

2020年,CNVD共收录通用软硬件漏洞19964个,这是“白产”与“黑产”较量中可量化的成果之一,没有人知道如果这些漏洞被恶意黑客利用,会造成什么样的后果,围绕漏洞的攻防对抗也将成为网络安全中永恒的主题。

在这场围绕“漏洞”的攻防对抗中,白帽子作为与恶意黑客对抗的主要力量,发挥了巨大价值,然而,在白帽子备受肯定之际,由于权责不清而导致的违规披露漏洞现象也屡见不鲜。《规定》的出台,与其说是强压责任,不如说是通过明晰权责,树立边界感,在合规的条件下,让白帽子的社会价值发挥至极致。

《规定》第九条强调,从事网络产品安全漏洞发现、收集的组织或者个人不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。


“违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。”

早前,据人民网报道,中国信通院安全研究所副所长、教授级高级工程师覃庆玲表示,网络安全漏洞披露是网络安全风险控制的中心环节,不规范或非法的网络安全漏洞披露严重危害网络空间整体安全,甚至被恶意黑客利用,影响国家安全、社会稳定和民众生活。

随着《规定》实施日期的确定,白帽子们也需要从保护自己的角度出发,合规披露漏洞,避免入“坑”,为自己带来不必要的麻烦。

网络产品提供者:及时响应确保产品漏洞得到及时修补和合理发布

如果说漏洞的发现与响应是接力赛,那在白帽子将漏洞提交给第三方平台或者网络产品提供者之际,最后一棒的冲刺就开始了。

漏洞的发掘、管理和维护,需要全产业链的成员共同努力。因此,除了规范漏洞披露者的行为,《规定》还对网络安全产品提供者的责任和义务进行了明确的划分。


《规定》明确指出,网络产品提供者应当履行网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施。

据了解,白帽子选择违规揭露漏洞主要有两个原因,一是是白帽子在向厂商提交漏洞后,有的厂商没有及时反馈甚至是不予反馈;二是白帽子没有意识到随意披露漏洞的行为已违规。

《规定》中对网络产品提供者责任和义务的强调,也将有效规避由于厂商“不作为”而导致白帽子违规披露漏洞的情况。“发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围,对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。”

此外,《规定》还指出,鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

目前,不论是从各大厂商在不断完善安全应急响应中心的漏洞审核机制来看,还是从不断加大漏洞奖励力度来看,各大厂商均意识到白帽子的重要性,也越来越重视白帽子的付出。

如2020年,腾讯首次推出了百万奖金池,单个漏洞额外奖励最高可达20万元;滴滴于2021年增加了年度奖励规范中获奖金的名额;2021年,深信服升级奖励机制,单个漏洞税后最高奖励金额达50万元……

在与“黑产”的较量中,需要白帽子抢先一步发现漏洞的高超技术,需要白帽子与网络安全产品提供者的顺畅交接,更需要网络安全产品提供者的迅速反应……

共筑网络安全防线,靠的不是一个人,而是一群人,这群人也许会因为误会而产生过误解,因为误解而起过争执,但他们始终带着“守卫网络安全,我辈义不容辞”的理念,在各自的岗位上坚守奋战,随着《规定》的正式出台和规范的明晰,未来,相信这群人在网络安全守卫战的道路上将走的更加顺畅。

 

来源:中关村在线内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯