《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》出臺，漏洞披露

近日，工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、公安部正式印發(fā)《網(wǎng)絡(luò )產(chǎn)品安全漏洞管理規定》(以下簡(jiǎn)稱(chēng)《規定》)?！兑幎ā芬幏读司W(wǎng)絡(luò )產(chǎn)品安全漏洞發(fā)現、報告、修補和發(fā)布等行為，明確網(wǎng)絡(luò )產(chǎn)品提供者、網(wǎng)絡(luò )運營(yíng)者的責任和義務(wù)，并將于2021年9月1日正式施行。

隨著(zhù)《規定》的塵埃落地，對漏洞披露者來(lái)說(shuō)，有哪些“坑”需要規避?對網(wǎng)絡(luò )產(chǎn)品提供者來(lái)說(shuō)，又有哪些“責”需要盡?

漏洞披露者：合規披露堅守正義也要保護自己

網(wǎng)絡(luò )安全行業(yè)中的攻防對抗始終擺脫不了“漏洞”的牽制，在與“黑產(chǎn)”較量的過(guò)程中，以防漏洞為核心的網(wǎng)絡(luò )白色產(chǎn)業(yè)應運而生，惡意黑客利用漏洞牟取私利，白帽子爭分奪秒負隅頑抗，只為守衛網(wǎng)絡(luò )安全的邊界。

2020年，CNVD共收錄通用軟硬件漏洞19964個(gè)，這是“白產(chǎn)”與“黑產(chǎn)”較量中可量化的成果之一，沒(méi)有人知道如果這些漏洞被惡意黑客利用，會(huì )造成什么樣的后果，圍繞漏洞的攻防對抗也將成為網(wǎng)絡(luò )安全中永恒的主題。

在這場(chǎng)圍繞“漏洞”的攻防對抗中，白帽子作為與惡意黑客對抗的主要力量，發(fā)揮了巨大價(jià)值，然而，在白帽子備受肯定之際，由于權責不清而導致的違規披露漏洞現象也屢見(jiàn)不鮮?！兑幎ā返某雠_，與其說(shuō)是強壓責任，不如說(shuō)是通過(guò)明晰權責，樹(shù)立邊界感，在合規的條件下，讓白帽子的社會(huì )價(jià)值發(fā)揮至極致。

《規定》第九條強調，從事網(wǎng)絡(luò )產(chǎn)品安全漏洞發(fā)現、收集的組織或者個(gè)人不得在網(wǎng)絡(luò )產(chǎn)品提供者提供網(wǎng)絡(luò )產(chǎn)品安全漏洞修補措施之前發(fā)布漏洞信息;認為有必要提前發(fā)布的，應當與相關(guān)網(wǎng)絡(luò )產(chǎn)品提供者共同評估協(xié)商，并向工業(yè)和信息化部、公安部報告，由工業(yè)和信息化部、公安部組織評估后進(jìn)行發(fā)布。

“違反本規定收集、發(fā)布網(wǎng)絡(luò )產(chǎn)品安全漏洞信息的，由工業(yè)和信息化部、公安部依據各自職責依法處理;構成《中華人民共和國網(wǎng)絡(luò )安全法》第六十二條規定情形的，依照該規定予以處罰。”

早前，據人民網(wǎng)報道，中國信通院安全研究所副所長(cháng)、教授級高級工程師覃慶玲表示，網(wǎng)絡(luò )安全漏洞披露是網(wǎng)絡(luò )安全風(fēng)險控制的中心環(huán)節，不規范或非法的網(wǎng)絡(luò )安全漏洞披露嚴重危害網(wǎng)絡(luò )空間整體安全，甚至被惡意黑客利用，影響國家安全、社會(huì )穩定和民眾生活。

隨著(zhù)《規定》實(shí)施日期的確定，白帽子們也需要從保護自己的角度出發(fā)，合規披露漏洞，避免入“坑”，為自己帶來(lái)不必要的麻煩。

網(wǎng)絡(luò )產(chǎn)品提供者：及時(shí)響應確保產(chǎn)品漏洞得到及時(shí)修補和合理發(fā)布

如果說(shuō)漏洞的發(fā)現與響應是接力賽，那在白帽子將漏洞提交給第三方平臺或者網(wǎng)絡(luò )產(chǎn)品提供者之際，最后一棒的沖刺就開(kāi)始了。

漏洞的發(fā)掘、管理和維護，需要全產(chǎn)業(yè)鏈的成員共同努力。因此，除了規范漏洞披露者的行為，《規定》還對網(wǎng)絡(luò )安全產(chǎn)品提供者的責任和義務(wù)進(jìn)行了明確的劃分。

《規定》明確指出，網(wǎng)絡(luò )產(chǎn)品提供者應當履行網(wǎng)絡(luò )產(chǎn)品安全漏洞管理義務(wù)，確保其產(chǎn)品安全漏洞得到及時(shí)修補和合理發(fā)布，并指導支持產(chǎn)品用戶(hù)采取防范措施。

據了解，白帽子選擇違規揭露漏洞主要有兩個(gè)原因，一是是白帽子在向廠(chǎng)商提交漏洞后，有的廠(chǎng)商沒(méi)有及時(shí)反饋甚至是不予反饋;二是白帽子沒(méi)有意識到隨意披露漏洞的行為已違規。

《規定》中對網(wǎng)絡(luò )產(chǎn)品提供者責任和義務(wù)的強調，也將有效規避由于廠(chǎng)商“不作為”而導致白帽子違規披露漏洞的情況。“發(fā)現或者獲知所提供網(wǎng)絡(luò )產(chǎn)品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進(jìn)行驗證，評估安全漏洞的危害程度和影響范圍，對屬于其上游產(chǎn)品或者組件存在的安全漏洞，應當立即通知相關(guān)產(chǎn)品提供者。”

此外，《規定》還指出，鼓勵網(wǎng)絡(luò )產(chǎn)品提供者建立所提供網(wǎng)絡(luò )產(chǎn)品安全漏洞獎勵機制，對發(fā)現并通報所提供網(wǎng)絡(luò )產(chǎn)品安全漏洞的組織或者個(gè)人給予獎勵。

目前，不論是從各大廠(chǎng)商在不斷完善安全應急響應中心的漏洞審核機制來(lái)看，還是從不斷加大漏洞獎勵力度來(lái)看，各大廠(chǎng)商均意識到白帽子的重要性，也越來(lái)越重視白帽子的付出。

如2020年，騰訊首次推出了百萬(wàn)獎金池，單個(gè)漏洞額外獎勵最高可達20萬(wàn)元;滴滴于2021年增加了年度獎勵規范中獲獎金的名額;2021年，深信服升級獎勵機制，單個(gè)漏洞稅后最高獎勵金額達50萬(wàn)元……

在與“黑產(chǎn)”的較量中，需要白帽子搶先一步發(fā)現漏洞的高超技術(shù)，需要白帽子與網(wǎng)絡(luò )安全產(chǎn)品提供者的順暢交接，更需要網(wǎng)絡(luò )安全產(chǎn)品提供者的迅速反應……

共筑網(wǎng)絡(luò )安全防線(xiàn)，靠的不是一個(gè)人，而是一群人，這群人也許會(huì )因為誤會(huì )而產(chǎn)生過(guò)誤解，因為誤解而起過(guò)爭執，但他們始終帶著(zhù)“守衛網(wǎng)絡(luò )安全，我輩義不容辭”的理念，在各自的崗位上堅守奮戰，隨著(zhù)《規定》的正式出臺和規范的明晰，未來(lái)，相信這群人在網(wǎng)絡(luò )安全守衛戰的道路上將走的更加順暢。