近日,工业和信息化部、国家互联网信息办公室、公安部正式发布《网络产品安全漏洞管理规定》(以下简称?)。《规定》对网络产品安全漏洞的发现、报告、修复和发布进行规范,明确了网络产品提供者和网络运营者的责任和义务,将于2021年9月1日正式实施。随着的尘埃落下落地,漏洞披露者需要避免哪些“陷阱”?网络产品提供商需要履行哪些“责任”?漏洞披露者:合规披露,坚守正义我们也要保护好自己。网络安全行业的攻防对抗,始终摆脱不了“漏洞”的束缚。在与“黑色产业”竞争的过程中,以漏洞为核心的白色网络产业应运而生,恶意黑客利用漏洞谋取私利,白帽子们争分夺秒争分夺秒,只为守住网络安全的边界。2020年,CNVD共收集到19964个常见软硬件漏洞。这是“白产”与“黑产”较量中可量化的结果之一。如果这些漏洞被恶意黑客利用,后果会如何无人知晓,围绕漏洞的攻防对抗也将成为网络安全永恒的主题。在这场围绕“漏洞”展开的攻防对抗中,白帽子作为对抗恶意黑客的主力军,发挥了巨大的作用。这种现象也很普遍。《规定》的出台,与其说是强加责任,不如说是明确权利和责任,树立界限感,在合规的条件下,白帽子的社会价值才能最大化。《规定》第九条强调,从事网络产品安全漏洞发现、收集工作的组织或者个人,在网络产品提供者提供网络产品安全漏洞修复措施前,不得发布漏洞信息;供应商联合评估协商,报工信部、公安部,由工信部、公安部组织评估发布。“违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部按照各自职责分别予以处理;构成第六十二条规定情形的,依照本条例的规定予以处罚。”近日,据人民网报道,中国信息通信研究院安全研究所副所长、教授级高级工程师秦庆玲表示,网络安全漏洞的披露是网络安全的中心环节。风险管控,不规范或非法披露网络安全漏洞,严重危害网络空间。整体安全,甚至被恶意黑客利用,影响国家安全、社会稳定和人民生活。随着《规定》实施日期的确定,白帽子们也需要从保护自己的角度出发,依法披露漏洞,以免落入“坑”,给自己造成不必要的麻烦。网络产品提供商:及时响应,确保产品漏洞得到及时修补和发布。如果说漏洞的发现和响应是一场接力赛,那么当白帽子们将漏洞提交给第三方平台或网络产品提供商时,最后一个冲刺就开始了。漏洞的发现、治理和维护需要全产业链成员的共同努力。因此,《规定》除了规范漏洞披露者的行为外,还明确划分了网络安全产品提供者的责任和义务。《规定》明确指出,网络产品提供者应当履行网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修复和合理释放,引导和支持产品使用者防患于未然。据了解,白帽选择违规披露漏洞主要有两个原因。一是白帽子向厂商提交漏洞后,部分厂商没有及时反馈,甚至拒绝反馈;行为已被侵犯。?中对网络产品提供商责任和义务的强调,也将有效避免因厂商“不作为”而导致白帽违规披露漏洞的情况。“发现或者知悉所提供的网络产品存在安全漏洞后,应当立即采取措施,组织对安全漏洞进行核查,评估危害程度和安全漏洞范围,并立即将安全漏洞通报给用户。其上游产品或组件。相关产品供应商。”此外,《规定》还指出,鼓励网络产品提供者建立对其提供的网络产品安全漏洞的奖励机制,对发现并报告其提供的网络产品安全漏洞的组织或个人给予奖励。目前,无论从各大厂商不断完善安全应急中心的漏洞审查机制,还是从增加漏洞奖励的角度来看,各大厂商都意识到了白帽的重要性,都在付出越来越关注他们。白帽子的薪水。例如,2020年,腾讯首次推出百万奖金池,单个漏洞追加奖励高达20万元;滴滴在2021年年度奖励规范中增加了奖金数量;税后最高奖励金额50万元……在与“黑产业”的较量中,需要白帽先发现漏洞的高超技术,白帽与网络安全产品提供商的顺利交接,需要网络安全产品供应商的快速反应……共同构筑网络安全防御,靠的不是一个人,而是一群人。这群人可能因误会而误会,因误会而有争执,但他们始终怀着“网络安全,责无旁贷”的“卫士”理念,坚守各自的立场,随着?的正式出台和规范的明晰,未来相信这群人在网络安全防御的道路上会走得更加顺畅。
