英国国家网络安全中心(NCSC)发布了一份指南,即漏洞披露工具包,帮助企业实施漏洞披露流程或已建立的漏洞披露流程过程已建立改进过程。该指南强调各种规模的组织都需要鼓励负责任的漏洞披露。本指南并没有使漏洞披露变得更容易,而是提供了更好的流程建议和必要的信息。在大多数网络攻击不断发生的今天,研究人员不断发现新的安全漏洞,因此漏洞披露程序是非常必要的。然而,就目前而言,披露这些问题可能特别困难。因为在大多数情况下,要找到可以采取相关行动的联系人需要花费很多精力。NCSC表示,人们希望能够直接向责任方报告发现的漏洞。指导内容包括:如何将外部漏洞信息导向合适的人;此外,该指南遵循明确的标准,这些标准定义了一个普遍接受的漏洞修复框架。NCSC建议设置易于查找的专用联系人(电子邮件地址或安全网络表单)。这可以通过security.txt轻松完成,这是一个发布在域根/.well-known目录中的纯文本文件。security.txt可以存储覆盖公司的安全联系人和漏洞披露政策,也可以链接到这些信息。当确认不是钓鱼时,企业应及时回应主动披露的漏洞,通过与其互动或表达感谢。减少其基础架构中漏洞数量的公司可以提供更安全的产品和服务,并降低成为网络攻击受害者的风险。此外,NCSC建议公司避免强迫漏洞披露者签署保密协议,“因为个人只是想确保漏洞得到修复”。因此,让研究人员随时了解漏洞的进展情况也很重要,这显示了对漏洞披露的透明度和赞赏。这具有重新测试和确认问题已解决的额外好处。漏洞披露工具包的发布是将漏洞报告嵌入英国立法框架的前奏。英国政府目前正在制定法律,要求智能设备制造商向公众提供漏洞披露流程。参考来源:https://www.bleepingcomputer.com/news/security/uk-government-releases-toolkit-to-easily-disclose-vulnerabilities/
