披露漏洞的道德原则

为了确保漏洞披露能够解决问题,而不是制造更多问题,我们提出了一些简单的操作原则。

在开发任何复杂的IT系统、软件或硬件时,错误和漏洞几乎是不可避免的。通常情况下,会是外部研究人员而非产品公司的员工或技术专家发现这些问题。网络安全的关键就在于消除这类错误和漏洞,这也是我们的研究人员和专家的工作重点。虽然人是错误和漏洞的主要来源,但同时,人也是及时发现问题纠正错误的关键因素。不过需要注意的是,在纠错的过程中可能并没有解决掉问题,反倒产生了新的风险和故障。

卡巴斯基在负责任的漏洞披露(RVD)方面坚持清晰透明的道德原则,当发现其他系统的漏洞时,会严格遵循五项原则。这五项原则是从我们23年的全球工作经验中总结出来,并结合了一些行业最佳做法,特别是国际网络安全应急论坛组织(FIRST)的道德守则。在任何情况下,我们都将用户(使用卡巴斯基产品和解决方案的个人和组织)的安全和保障放在首位。

同时,我们尊重所有相关方的利益,包括漏洞产品的所有个人或组织、可能成为受害者的其用户、以及整个网络安全行业。

通过执行下述原则确保了我们能一以贯之地以透明负责的方式采取行动,从而建立一个更安全的信息和通信技术(ICT)生态系统。然而,要想让整个IT行业按照这个方向发展,就必须要求其他供应商,以及他们的用户、独立研究人员、监管机构和其他利益相关方拥有相似的动机引导其行为。因此,我们决定公开我们的RVD原则,抛砖引玉为行业谋求更好的将来。

原则 # 1:建立信任

信息安全的基础建立在一定程度的不信任上。但如果没有相互信任,披露漏洞就无法起到它应有的作用,因此我们默认在这件事上,各方的出发点都是好的。不过我们还是会花时间和精力协调行动,尽可能减少漏洞造成的损失和伤害,保持信任但绝不轻信的原则,核实状况。我们不会因有趣或野心而随便公开漏洞的信息,一切都以用户利益和社会安全为优先条件。

原则2:首先通知受影响的一方

漏洞披露是一个复杂的过程,中间涉及大量的难题,包括无法联系到相关方或者干脆没有回应。尽管存在这样的问题,及时通知受影响的厂商并提供准确的信息仍然至关重要。首先,我们需要共同努力消灭漏洞,最大限度减少用户风险。为此,厂商需要提供清晰透明的方式来报告和处理漏洞信息。(阅读12这两篇文章了解卡巴斯基的工作方式)

原则 # 3:共同努力

让我们先重申一个显而易见的道理,每个漏洞都是不一样的。有些漏洞只威胁到单一产品的用户,有的则会影响到多方(如,涉及拥有复杂供应链的国际企业时)。漏洞还可能影响到关键基础设施和公共部门网络,从而威胁国家安全。与此同时,研究人员和供应商将不再是唯二的相关方,监管机构、客户、独立研究人员和白帽黑客也可能牵涉其中。为了有效协调所有利益相关者,我们会遵循国际最佳实践(如ISO/IEC 29147:2018漏洞披露标准),说得更具体一些就是,我们会努力为各方提供充足的时间进行彻底的漏洞分析和修复开发。

原则 # 4:在需要的时候保密

如果在过程中过早暴露有关漏洞的技术信息,那么攻击者就有机会利用它发起攻击。这就是为什么我们需要以保密的方式和制定缓解措施的各方共享信息,然后通过最可信和最安全的沟通渠道开展工作。出于同样的原因,我们会先跟供应商协商披露条款和条件,但如果供应商没有回复,我们将会根据漏洞的严重程度、规模以及风险的时效性决定是否通过自己的沟通渠道披露信息,确保整个过程遵守我们的内部政策、当地法律和行业最佳时间,同时持续向供应商通报最新情况。

原则 # 5:激励理想的行为

尽管业界一直在努力,但网络犯罪分子仍在继续寻找并持续发现新的漏洞。 因此,在这种情况下,我们认为,公开支持每一个负责任地报告漏洞并遵循行业最佳做法的人相当重要。

安全的漏洞披露

我相信,如果各方都遵守类似的道德原则,我们将能通过共同努力,让信息和通信技术的生态系统更加安全,为用户创造更加健康、可预测的环境。

您可以在全球信息透明度倡议页面进一步了解我们的RVD道德原则

提示