联盟发起调查,调查脆弱性披露和处理的观点

呼吁技术供应商、运营商和安全研究人员的公众参与

波士顿, MA — 2016年4月4日

由Rapid7代表意识和采纳小组发出 网络安全专家联盟今天发起了两项调查,以调查人们对这一问题的认识和看法。该联盟参与了一项计划,旨在促进对安全漏洞披露和处理的更好理解和采用最佳实践. 该联盟由“意识和采用小组”的成员组成,他们参与了一个关于漏洞披露和处理的多利益相关者过程, 是由 国家电信和信息管理局(NTIA).

随着软件和技术系统变得越来越先进和复杂, 它们包含对用户产生负面影响的问题的可能性增加了. 这些被称为漏洞的问题也可能为恶意攻击者创造机会. 漏洞通常是在开发过程中发现和解决的, 在市场发布之前, 软件和技术系统, 但测试一切是不可能的. 结果是, 在产品和在线服务中仍可能发现漏洞, 要么是故意调查,要么是意外发现. 在两种情况下, 安全研究人员或发现者向技术开发人员披露其发现的明确途径, 制造商, 服务提供商帮助解决问题,而不会让用户面临不必要的风险. 清晰的路径通常是“漏洞处理”策略、流程或程序的一部分.

虽然之前已经开展了许多工作来开发漏洞披露和处理的最佳实践-导致两个国际标准组织(ISO)标准, ISO/IEC 29147和ISO/IEC 30111 -采用这些做法尚未广泛. 意识和采用小组想要了解漏洞披露和处理策略和实践的广泛采用程度, 包括在不同的行业部门以及不同工作环境下的研究人员和组织之间. 领养的障碍在哪里, 该小组试图确定可能是什么,并制定相应的指导方针.

该小组正在调查这些问题,调查涉及的主要利益相关者群体:技术提供商和运营商, who may receive reports about potential vulnerabilities; 和 security researchers, 谁可以向技术提供商和运营商报告潜在的漏洞. 匿名信息将通过两个简短的在线调查(每个调查不超过10个问题)收集. 结果数据将被汇总和分析,并将于2016年晚些时候向公众发布一份报告. 根据研究结果, 该报告将建议采取行动,以增加脆弱性披露和处理最佳实践的采用.

“Ultimately our goal is to help make everyone safer; given the trust we place in technology in every area of our lives, 重要的是要明白,脆弱性会对人们的安全和身份产生负面影响, 以及达到国家安全或经济稳定的规模,珍·埃利斯说, Rapid7社区和公共事务副总裁, 以及提高认识和收养小组的联合主席. “解决这个问题需要研究人员、技术提供商和运营商之间的开放合作, 我们认为,对漏洞披露和处理采取战略性和深思熟虑的方法是其中一个非常重要的因素.”

“我们希望人们能以开放的态度对待这些调查,这样我们就能了解现实世界的观点,并提出适当的建议。,阿曼达·克雷格说。, 微软高级网络安全策略师, 以及提高认识和收养小组的联合主席. “传统上,人们认为研究人员与技术提供商和运营商之间存在某种对抗关系. 我们要跨过这一关, 以及由此产生的普遍假设, 了解当前的经验, 和观点, 漏洞披露和处理. 只有通过了解实际发生的情况,我们才能为增加最佳实践的采用提出有意义的建议.”

调查问卷可透过以下途径查阅:

调查, 是由利益相关者而不是NTIA开发的, 现在都在直播,直到2016年4月30日都可以在线观看.

意识和采用小组包括来自技术供应商的代表, 安全研究界, 公民自由团体, 以及其他涉及或对漏洞披露和处理生命周期感兴趣的人. 成员包括:民主与技术中心, CERT协调中心, 迪诺·戴·佐维(安全研究员), HackerOne, Katie Moussouris (ISO 29147的联合编辑) & ISO 30111), 微软, Neal Krawetz(安全研究员), 新美国网络安全倡议, Rapid7, 和SAP.

如果您有任何问题或想了解更多信息,请发送电子邮件 ntia-aa@googlegroups.com.


媒体接触

瑞秋E. 亚当

高级公关经理

857—990—4136

press@methodistcorner.net