微软将漏洞披露方式由负责调整为协调

微软日前宣布，将对此前“负责任的漏洞披露（Responsible Disclosure）”方式进行调整，采用新的漏洞披露方式，从而能够对零日漏洞提供更加协调一致的响应。

这一新的漏洞披露方式被称为“协调的漏洞披露（Coordinated Vulnerability Disclosure，CVD）”，与微软负责任的漏洞披露政策相比变化不大。CVD政策将敦促安全研究人员向软件供应商或美国计算机应急准备小组报告发现的安全漏洞。根据CVD政策的规定，软件供应商和安全研究人员将会就漏洞修复期限达成一致。微软负责可信计算安全业务的总经理Matt Thomlinson在微软安全响应中心的博客中表示，公司将努力使漏洞披露过程尽可能的透明。

Thomlinson指出，“责任当然依旧重要，但这应该是由安全研究人员、安全产品供应商和其他软件供应商组成的整个社区的共同责任。在提高计算生态系统的总体安全性方面，安全社区的每个成员都应发挥自己的作用。”

不久前，谷歌的安全研究人员Tavis Ormandy公开披露了Windows XP中存在的零日漏洞，并发布了针对该漏洞的概念验证代码。随后，微软宣布了这一新的漏洞披露方式。几天前，微软发表声明警告说，其已经检测到试图针对该漏洞的恶意攻击。

Thomlinson表示，微软和其他软件制造商有责任与报告该漏洞的安全研究人员进行沟通。软件制造商承诺将提供及时更新并确定预定解决日期。另外，Thomlinson还指出，遵守这一新的漏洞披露政策的安全研究人员可以提前发布包含有限细节的安全公告，但不应该提供概念验证代码。

Thomlinson在博客中写到，“软件供应商和漏洞发现者需要密切协作以修复漏洞；应该进行广泛的努力，以及时对安全漏洞做出响应；一旦主动攻击被公开披露，最好的对策应该是集中力量减少攻击带来的危害和提出暂时性解决方案——即使那样，软件供应商和漏洞发现者仍然应该尽可能地协调一致。”

安全研究人员如是说

尽管微软新的漏洞披露方式获得了一些专家的支持，但也有研究人员声称，新政策不会对漏洞报告方式产生太大影响。

漏洞管理公司Rapid7的首席安全官、安全漏洞检测工具Metasploit的渗透测试框架总设计师、安全研究社区的长期拥护者H.D. Moore认为，微软的声明不过是“试图控制关于负责任的漏洞披露的争论”。Moore指出，微软新的漏洞披露政策仍然没有什么效力。漏洞发现者最终有权决定是公开披露一个漏洞，还是悄悄将其报告给软件供应商。

Moore表示，“微软值得称道的地方在于其承认漏洞的存在，但在及时修复漏洞方面做的还不够好。微软似乎并未承认供应商不遵守这些规定。而供应商从来都没有遵守过这些规定。”

Moore强调，软件供应商保持对漏洞披露的控制的唯一合法途径是，与安全研究人员签订合同，通过某种形式的奖励计划向漏洞发现者支付奖金。

在一篇详细介绍这一新的漏洞披露方式的博文中，微软安全响应中心生态系统策略团队的资深安全策略专家Katie Moussouris列出了一些支持这一理念变化的安全专家的评论。Moussouris指出，这一漏洞披露方式的改变是“对‘负责任的漏洞披露’的修正，为微软和安全研究人员密切协作提供了一种预期和过程。即使在漏洞披露理念未能完全同步变化的情况下，各方在讨论漏洞披露时也不必因使用一个容易让人误解的术语而产生歧义。”

非营利性信息安全公共组织Open Security Foundation的总裁、安全监控产品供应商Tenable Network Security的Nessus安全漏洞扫描器专家Brian Martin表示，微软新的漏洞披露方式试图在一定程度上解决与“负责任的漏洞披露”有关的极端问题，并使其内部政策更加透明。

Martin说，“关于负责任的漏洞披露的争论由来已久，并可能继续持续下去。我认为，这一漏洞披露方式的改变并不意味着微软希望控制所有的漏洞披露途径，而是表明微软将如何处理漏洞披露和修复问题。”

独立安全研究人员Dino Dai Zovi也对微软这一漏洞披露方式的改变表示支持，并称“负责任的漏洞披露”是一个有歧义的术语。微软可能通过采取更加明确的漏洞修复期限或为漏洞发现者提供奖金等方式，进一步推动这一漏洞披露方式的进展。

Dai Zovi说，“这决不意味着微软严格定义的安全漏洞披露方式是不负责任的。微软在安全漏洞方面所做的其他调整也具有积极意义，但在对安全研究人员友好性方面的政策还远远不如谷歌和Mozilla。”

Mozilla为发现其软件中存在漏洞的研究人员提供最多达3000美元的奖金。谷歌不但为发现其Chrome浏览器中存在漏洞的研究人员提供最多达3133美元的奖金，同时承诺在60天内修复漏洞。通过这些更为灵活的方式，谷歌和Mozilla主动邀请研究人员向其报告漏洞。

安全评估机构Independent Security Evaluators的研究人员Charlie Miller认为，微软的声明是一个可喜的变化，但还有一些问题没有解决。例如，“微软为什么不像谷歌和Mozilla那样向漏洞发现者支付奖金？难道微软认为其产品安全性的价值还抵不上支付给报告严重安全漏洞的研究人员的奖金？另外，为什么微软在发现安全漏洞时不能承诺60天内完成修复？”

Miller在接受电话采访时表示，通过与安全研究人员签订合同并向直接报告漏洞者支付奖金，谷歌和Mozilla在一定程度上获得了对漏洞披露的控制。他说，“对我来说，由于我已经具有一定的知名度，在漏洞报告中署上我的名字没有任何用处。因此，我可不愿花几个星期的时间寻找并向微软报告漏洞。”

【编辑推荐】

1. 微软发布安全公告最严重漏洞被谷歌员工提前披露
2. 微软警告：Windows XP的零日漏洞攻击增加