Accuvant公司的Ryan Smith将与计算机服务机构(CSO)谈论漏洞披露，漏洞奖励计划以及漏洞市场等话题，这是与业界领袖与行业专家所进行的首次专题研讨。

这次黑客观点所要讨论的内容是，一系列正在进行的与行业领导者和行业专家的问与答，内容主要集中在与互联网安全有关的一些重要话题上。最先进行的讨论主要集中在漏洞披露以及既定标准对漏洞披露的影响。除此之外，我们还就Heartbleed网站和漏洞奖励计划等漏洞市场方面的问题进行了询问。

计算机服务机构(CSO)鼓励每一个人参加黑客观点的一系列讨论活动。如果你想要参与其中，你可以将公布在“问与答”板块问题的答案通过电子邮件发送给Steve Ragan，或者你也可以向我们提供在未来可以进行进一步讨论的话题。

CSO：终端用户所做的事情让安全研究团队为之抓狂

你赞成哪一个：完整披露，负责任的披露，或者保持中立观点？

Accuvant以及FishNet安全公司的副总裁兼总架构师-Ryan Smith：

完整披露和负责任的披露并不是两种相互排斥的观点。支持完整披露的人认为，保密对安全性来说是无益的。而负责任的披露则是为了降低漏洞对于安全性的潜在威胁。当公布漏洞信息时，协调披露就是一种与供应商之间的协调与配合了。

当我们对漏洞披露的最佳方式进行讨论时，还需要进行多方面的考虑。供应商对安全漏洞的应对能力各有不同。某一厂商可能会有一个致力于漏洞披露的完整的团队，而别的厂商可能根本就没有相关人员对漏洞进行研究，而且很有可能在过去也没有任何处理相关问题的经验。

现在，不同研究团队对漏洞的研究目的也有所不同。从一个传统软件中寻找漏洞与寻找网站中的漏洞是截然不同的两件事情，而这两者与寻找嵌入式系统的漏洞也有很大的区别。直接对传统软件的漏洞进行修补是非常简单的。而在嵌入式系统中，若要处理那些漏洞，你将会遇到很多的困难。

有些时候你需要对其进行完整的修改，而有的时候你则需要为数以万计的设备部署补丁程序。所以请考虑清楚，到底怎样做才是披露漏洞的最好方式，并且请你保证你的漏洞披露策略有足够的调整空间。

如果一个研究人员选择的是负责任的/协调披露，并且供应商保持沉默，或者CERT停止对其进行回应的话，完整披露在这个时候是否合适呢？如果不合适，那为什么呢？

Ryan Smith：如果当一个研究人员与供应商密切合作，并帮助他们修复产品漏洞时，供应商保持沉默，这将会非常的令人沮丧。他们保持沉默，是因为他们不打算处理这些产品漏洞吗？还是说他们并不承认这些漏洞？

这种情况下，沉默永远都不是一个合适的交流选项，因为它往往会使人们闭门造车。有的时候，这种信息处理的方式会使得人们认为，将漏洞信息公之于众，是保护民众自身安全的唯一方法。

在这种情况之下，对于研究人员来说， 重要的就是稍微停下脚步，并从利他的角度上来分析现在的情况，而不是带着激情对漏洞进行数个月的研究。研究人员必须想清楚，他或她如何才能最大程度地帮助那些使用了受漏洞影响的系统的用户，帮助保护他们设备的安全性。

漏洞奖励计划变的越来越常见了，但有时候计划所提供的奖励比漏洞本身的价值要低得多。你认为应该怎样做，才能保证这些漏洞值得研究人员去花费时间，并付诸努力？

Ryan Smith：每一个研究人员所进行的研究都有他们自己的动机和价值感知。重要的是研究人员对漏洞所进行的研究，而不是供应商的合同或者努力工作所得到的报酬。

我的研究动机就是拓展安全社区以及我自己的知识面，比如说系统的工作机制等等，而不是如何去赚钱。但是，假如说我的目的是为了赚钱，那么你可以对研究所投入的设备，硬件，软件以及时间等各个方面的花费进行估算，你就会发现，很多漏洞奖励计划所提供的奖励对研究人员的时间以及研究投入来说，是严重不成比例的。

供应商可以与以知识为动机的研究人员达成合作伙伴关系，并与他们共享信息，以此来鼓励他们。供应商还可以给予研究人员访问他们硬件，软件以及产品服务的免费权限。他们甚至可以邀请研究人员参与公司软件的测评。

他们还可以邀请研究人员与产品的开发团队进行交流。进行有意义的分享，可以让这些以知识为动机的研究人员更好地以合作伙伴的身份帮助供应商，并向厂商提供更多有实际价值的信息。

你对带有市场营销以及公关性质的漏洞披露行为有什么观点？比如说Heartbleed，POODEL或者Shellshock，这些有价值吗？

Ryan Smith：一旦当你涉及到漏洞市场时，你就必须得考虑研究组织为什么要采取这种方式了。漏洞研究的花费是非常高的，所以公司往往想要从他们的研究成果中提取出最有价值的东西。比如说Heartbleed，我认为它将漏洞的信息公布出来，并提升了公众对此漏洞的警惕性，这就是它的价值。但是某些漏洞市场上的漏洞的价值却是值得商榷的。如果你对漏洞市场的各种现象进行解读，你就会发现其中有好的也有坏的。

反病毒公司从成立之初，目的就在于进行对恶意软件的检测和命名。它们给漏洞取的名字非常容易记忆，也很容易发音，这样便使得人们更加容易分清各个漏洞之间的细微差别，使得错误不会再次上演。

如果修改提议通过了，你认为Wassenaar法案会如何影响漏洞披露的过程？它会根据概念验证条款阻止漏洞的完整性披露吗？

Ryan Smith：如果Wassenaar法案通过了，安全社区会需要一至两年的时间适应。如果没有人违反Wassenaar法案，那么一切便可以照常进行。但是如果有人违反了相关规定，那么可能研究人员再也不会将他们的研究发现提供给供应商了，这样会使安全行业回退到1997年，那时0 day漏洞还在紧密的交易圈中交易呢。

Wassenaar法案，正如他们所写的那样，如果想要将漏洞信息披露给一个处于美国境外的某个组织，那么每一个漏洞的披露都需要得到出口许可证。

(责任编辑：安博涛)