乌云漏洞盒子同时维护 漏洞披露机制或迎重大升级

　　匡恩网络总裁孙一桉对搜狐科技表示，安全漏洞的披露同时还要考虑具体的行业，涉及到军工、核电、国家安全的基础设施漏洞披露时更要有责任感。任何一个负责任的研究机构或个人，遇到这类漏洞时，都不会以公开化的方式披露。对于这一类漏洞攻击手段的管理是每个国家面临的挑战，目前的趋势是不少国家甚至会把这种漏洞列入战略武器的一部分。目前国家网络安全领域也在逐渐立法，敏感领域的安全漏洞一定不太可能会向公众披露。

　　据搜狐科技了解，国内某安全漏洞披露平台就曾出现过披露国家重要部门应用程序漏洞的例子，可能会造成敏感信息泄露。此前，乌云也曾披露过网易邮箱被拖库的案例，但后来中国CERT（国家互联网应急中心）验证称，根据已披露的数据无法支持“过亿数据泄露”这一判断。

　　漏洞披露平台要找婆家？

　　赵占领律师认为，安全漏洞平台在披露相关漏洞时，需要特别注意法律风险。如果平台方及白帽黑客发布的漏洞信息不实，双方都需要承担相应的法律责任。

　　中科院软件研究所研究员、中国电子学会计算机取证专委会主任委员、公安部三局特聘专家丁丽萍称，国内安全漏洞平台有的在奉行“法不禁止即可为”的做法，但法律是一直在更改、完善的，建议漏洞平台改进目前的漏洞披露模式。公开披露漏洞的情况，等于是在昭告天下，告诉大家某家企业或网站的大门钥匙藏在哪里，用什么办法能进到他家里。

　　丁丽萍建议，国内的漏洞披露平台能够与国家相关部门合作，或有授权的机构合作，如中国CERT或公安部国家网络与信息安全信息通报中心。通过与这些有披露权限的部门合作，漏洞披露平台能够得到相应的授权，并且有统一的漏洞披露出口，在做漏洞披露时会更安全、更保险。目前部分漏洞披露平台采取的由白帽黑客自由提交漏洞的方式，很难保证中间环节不出纰漏。

　　据搜狐科技了解，目前国内漏洞披露平台普遍与中国CERT等部门有合作关系，有重大安全漏洞时，平台方也会主动向相关部门提交漏洞。但从实际操作来看，一般信息提交给相关部门时，平台方也会同步在其平台发布漏洞信息。

　　截止搜狐科技发稿时止，乌云平台及漏洞盒子的“漏洞黑板报”栏目仍然无法正常访问。不可否认的是，随着国家在网络安全方面重视程度的提升及相关法律法规的完善，网络漏洞检测及披露这一敏感领域的工作也会更加规范。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!