漏洞披露还是通知?大规模接触利益相关者的最佳实践
《Digital Threats: Research and Practice》:Vulnerability Disclosure or Notification? Best Practices for Reaching Stakeholders at Scale
【字体:
大
中
小
】
时间:2025年11月21日
来源:Digital Threats: Research and Practice
编辑推荐:
漏洞通知是发现者针对已知漏洞或配置问题主动扫描,确定受影响系统后向用户披露的实践。其规模与复杂性远超供应商间披露,给学术研究者、伦理黑客等带来更大负担。本文通过元分析和社区建议,提出大规模漏洞通知的最佳实践。
摘要
漏洞披露是指发现漏洞的人员将新发现的漏洞告知供应商的行为。这一过程已经形成了相应的最佳实践,以确保相关各方之间的有效沟通。然而,发现漏洞的人员或供应商向最终用户通报存在漏洞的系统及其应对措施的做法,尚未得到同样程度的关注和相应的指导规范。我们将这种行为称为“漏洞通知”,它与传统的漏洞披露有一定的相似之处,但也面临其他挑战,需要采取不同的处理方法。
在漏洞通知过程中,发现漏洞的人员会利用主动扫描或数据集来识别已知漏洞或配置错误,以确定仍有多少系统或服务处于受攻击风险中。与向供应商披露漏洞相比,向最终用户进行漏洞通知的规模和复杂性通常要大得多。这给发现漏洞的人员带来了更大的压力,尤其是对于学术安全研究人员、道德黑客和实际操作者来说,他们需要及时向相关方传达信息。
基于我们在漏洞披露和通知操作方面的经验,以及对相关学术文献的梳理,我们对研究人员多年来采用的最佳实践、采取的不同策略以及他们的操作方式进行了元分析。结合这些元分析结果和安全领域的建议,我们为发现漏洞的人员提出了新的最佳实践,特别是针对大规模漏洞通知的操作规范。
生物通微信公众号
生物通新浪微博
今日动态 |
人才市场 |
新技术专栏 |
中国科学人 |
云展台 |
BioHot |
云讲堂直播 |
会展中心 |
特价专栏 |
技术快讯 |
免费试用
版权所有 生物通
Copyright© eBiotrade.com, All Rights Reserved
联系信箱:
粤ICP备09063491号
