负责任的披露

本條目存在以下問題，請協助改善本條目或在討論頁針對議題發表看法。 此條目翻譯自英語維基百科，需要相關領域的編者協助校對翻譯。 如果您精通本領域，又能清楚地將英語翻譯為中文，歡迎您協助校訂翻譯。原文参见en:Coordinated vulnerability disclosure。 此條目可能包含原创研究。 请协助補充参考资料、添加相关内联标签和删除原创研究内容以改善这篇条目。详细情况请参见讨论页。 此條目論述以部分區域為主，未必有普世通用的觀點。 請協助補充內容以避免偏頗，或討論本文的問題。

负责任的披露（英語：Responsible disclosure）是计算机安全或其他领域中的一种漏洞披露模型，它限制了漏洞披露的行为，以提供一段时间来修补或修缮即将披露的漏洞或问题。这一特点使之与完全披露（英语：Full disclosure (computer security)）模型不同。

硬件和软件的开发人员通常需要一些时间和资源才能修复新发现的错误。而黑客和计算机安全科学家认为，让公众了解高危害的漏洞是其社會責任。隐瞒这些问题可能导致虚假的安全感（英语：Security theater）。为了避免这种情况，相关各方经过协调，就修复漏洞和防止未来发生任何损害达成了一致意见。根据漏洞的潜在影响、开发和应用紧急补丁或变通方案所需要的预计时间，以及其他因素，有限披露时限可能在几天到几个月不等。

负责任的披露未能满足那些希望籍此获得经济补偿的安全研究员^{[來源請求]}，向预计提供赔偿的供应商报告漏洞可能被视为敲诈勒索。虽然安全漏洞市场已经形成，但安全漏洞的商业化仍然是与安全漏洞披露相关的热门话题。在如今，商业漏洞市场有两个主要的参与者，iDefense在2003年启动了漏洞贡献者计划（VCP），而TippingPoint（英语：TippingPoint）在2005年启动了零日计划（ZDI）。上述组织遵循所购买材料的负责任披露流程。2003年3月到2007年12月期间，影响微软和苹果公司的漏洞平均有7.5%由VCP或ZDI处理。 ^[1]通过支付程序错误赏金（英语：Bug bounty）来支持负责任的披露的独立公司包括Facebook、Google、Mozilla和Barracuda Networks（英语：Barracuda Networks）。^[2]

Vendor-sec（英语：Vendor-sec）是一个“负责任的披露”邮件列表。许多计算机应急响应小组（CERT）在协调负责任的披露。

披露政策[编辑]

Google Project Zero有90天的披露截止日期，从通知存在安全漏洞的提供商时起算，漏洞的详细信息将在90天后与防御社区公开分享，如果提供商发布了修复程序则会更快。^[3]

ZDI有120天的披露截止日期，从收到提供商的响应时起算。^[4]

例子[编辑]

通过“负责任的披露”解决的安全漏洞：

• MD5碰撞攻击，展示如何创建假的CA证书，1周^[5]
• 星巴克礼品卡双重消费/竞争条件，制造免费的额外积分，10天（Egor Homakov） ^[6]
• Dan Kaminsky（英语：Dan Kaminsky）发现的DNS缓存投毒，5个月^[7]
• MBTA vs. Anderson（英语：MBTA vs. Anderson），麻省理工学院学生发现的马萨诸塞州地铁安全漏洞，5个月^[8]
• 奈梅亨拉德伯德大学攻破的MIFARE Classic卡安全性能，6个月^[9]
• Meltdown漏洞，影响Intel x86微处理器和部分基于ARM的微处理器的硬件漏洞，7个月。^[10]
• Spectre漏洞，分支預測器的实现造成的硬件漏洞，影响现代微处理器的推测执行，允许恶意进程访问其他程序的虚拟内存内容，7个月。^[10]
• ROCA漏洞（英语：ROCA vulnerability），影响一个英飞凌程序库和YubiKey生成的RSA密钥，8个月。^[11]

参见[编辑]

• 吹哨人
• 信息敏感性（英语：Information sensitivity）
• 白帽黑客
• 计算机应急响应小组

参考资料[编辑]