負責任的披露

本條目存在以下問題，請協助改善本條目或在討論頁針對議題發表看法。 此條目翻譯自英語維基百科，需要相關領域的編者協助校對翻譯。 如果您精通本領域，又能清楚地將英語翻譯為中文，歡迎您協助校訂翻譯。原文參見en:Coordinated vulnerability disclosure。 此條目可能包含原創研究。 請協助補充參考資料、添加相關內聯標籤和刪除原創研究內容以改善這篇條目。詳細情況請參見討論頁。 此條目論述以部分區域為主，未必有普世通用的觀點。 請協助補充內容以避免偏頗，或討論本文的問題。

負責任的披露（英語：Responsible disclosure）是計算機安全或其他領域中的一種漏洞披露模型，它限制了漏洞披露的行為，以提供一段時間來修補或修繕即將披露的漏洞或問題。這一特點使之與完全披露（英語：Full disclosure (computer security)）模型不同。

硬件和軟件的開發人員通常需要一些時間和資源才能修復新發現的錯誤。而黑客和計算機安全科學家認為，讓公眾了解高危害的漏洞是其社會責任。隱瞞這些問題可能導致虛假的安全感（英語：Security theater）。為了避免這種情況，相關各方經過協調，就修復漏洞和防止未來發生任何損害達成了一致意見。根據漏洞的潛在影響、開發和應用緊急補丁或變通方案所需要的預計時間，以及其他因素，有限披露時限可能在幾天到幾個月不等。

負責任的披露未能滿足那些希望籍此獲得經濟補償的安全研究員^{[來源請求]}，向預計提供賠償的供應商報告漏洞可能被視為敲詐勒索。雖然安全漏洞市場已經形成，但安全漏洞的商業化仍然是與安全漏洞披露相關的熱門話題。在如今，商業漏洞市場有兩個主要的參與者，iDefense在2003年啟動了漏洞貢獻者計劃（VCP），而TippingPoint（英語：TippingPoint）在2005年啟動了零日計劃（ZDI）。上述組織遵循所購買材料的負責任披露流程。2003年3月到2007年12月期間，影響微軟和蘋果公司的漏洞平均有7.5%由VCP或ZDI處理。 ^[1]通過支付程序錯誤賞金（英語：Bug bounty）來支持負責任的披露的獨立公司包括Facebook、Google、Mozilla和Barracuda Networks（英語：Barracuda Networks）。^[2]

Vendor-sec（英語：Vendor-sec）是一個「負責任的披露」郵件列表。許多計算機應急響應小組（CERT）在協調負責任的披露。

披露政策[編輯]

Google Project Zero有90天的披露截止日期，從通知存在安全漏洞的提供商時起算，漏洞的詳細信息將在90天後與防禦社區公開分享，如果提供商發佈了修復程序則會更快。^[3]

ZDI有120天的披露截止日期，從收到提供商的響應時起算。^[4]

例子[編輯]

通過「負責任的披露」解決的安全漏洞：

• MD5碰撞攻擊，展示如何創建假的CA證書，1周^[5]
• 星巴克禮品卡雙重消費/競爭條件，製造免費的額外積分，10天（Egor Homakov） ^[6]
• Dan Kaminsky（英語：Dan Kaminsky）發現的DNS緩存投毒，5個月^[7]
• MBTA vs. Anderson（英語：MBTA vs. Anderson），麻省理工學院學生發現的馬薩諸塞州地鐵安全漏洞，5個月^[8]
• 奈梅亨拉德伯德大學攻破的MIFARE Classic卡安全性能，6個月^[9]
• Meltdown漏洞，影響Intel x86微處理器和部分基於ARM的微處理器的硬件漏洞，7個月。^[10]
• Spectre漏洞，分支預測器的實現造成的硬件漏洞，影響現代微處理器的推測執行，允許惡意進程訪問其他程序的虛擬內存內容，7個月。^[10]
• ROCA漏洞（英語：ROCA vulnerability），影響一個英飛凌程序庫和YubiKey生成的RSA密鑰，8個月。^[11]

參見[編輯]

• 吹哨人
• 信息敏感性（英語：Information sensitivity）
• 白帽黑客
• 計算機應急響應小組

參考資料[編輯]