英国国家网络安全中心(NCSC)发布指南——“漏洞披露工具包”,帮助公司实施漏洞披露流程或改进已建立的漏洞披露流程。该指南强调,各种规模的组织都需要披露来鼓励负责任的漏洞。
这一指南并非使漏洞披露更容易,而是提供了更好的流程建议和必要的信息。
如今,大多数网络攻击继续发生,研究人员不断发现新的安全漏洞风险,因此漏洞披露程序非常必要。
然而,目前的情况是,披露这些问题可能特别困难。因为在大多数情况下,找到可以采取相关措施的联系人需要花费大量的精力。NCSC人们希望直接向负责人报告发现的漏洞。
该指南的内容包括:如何将外部漏洞信息定向给到合适的人;此外该指南遵循明确的标准,该标准定义了公认的关闭漏洞的框架。
NCSC建议设置易于查找的专用联系人(电子邮件地址或安全的Web表单)。这可以通过security.txt轻松完成,该文件是发布在域根目录/.well-known目录中的纯文本文件。security.txt可以存储覆盖公司的安全联系人和漏洞披露政策,也可以链接到这些信息。
如果确认不是在线钓鱼,企业应及时响应未经要求的漏洞披露,并可以与他们互动或表示感谢。一家公司可以提供更安全的产品和服务,并降低成为网络攻击受害者的风险。
此外,NCSC建议企业避免强迫漏洞披露者签署保密协议,“因为个人只是想确保漏洞已经修复。”因此,让研究人员了解漏洞处理的进展也很重要,这表明了对漏洞披露的透明度和欣赏。这样做的另一个好处是可以重新测试和确认问题已经解决。
“漏洞披露工具包”发布是将漏洞报告嵌入英国立法框架的序言。英国政府目前正在制定法律,要求智能设备制造商向公众提供漏洞披露流程。
参考来源:
https://www.bleepingcomputer.com/news/security/uk-government-releases-toolkit-to-easily-disclose-vulnerabilities/