現(xiàn)在2013年度RSA信息安全大會(huì)（RSA2013）正在熱烈召開，會(huì)上知名安全專家們建議軟件制造商和互聯(lián)網(wǎng)服務(wù)供應(yīng)商，預(yù)定在2013年底發(fā)布的安全漏洞處理流程中，需要準(zhǔn)備兩個(gè)新的ISO標(biāo)準(zhǔn)來適應(yīng)新的安全需求，其中包括了ISO 30111和ISO 29147。

RSA2013:供應(yīng)商需要新安全漏洞處理標(biāo)準(zhǔn)

ISO 30111涵蓋了所有漏洞處理流程中，無論是內(nèi)部確認(rèn)，或被外部人員報(bào)告的。

ISO 29147則涵蓋了如終端用戶、安全研究人員和黑客等外部人員所暴露的漏洞。

微軟的高級安全策略主管兼標(biāo)準(zhǔn)制定者，凱蒂·牟索利斯（Katie Moussouris）希望，ISO 29147可以更容易地報(bào)告軟件和服務(wù)的漏洞。

凱蒂告訴參加本年度舊金山RSA會(huì)議的與會(huì)者，“該標(biāo)準(zhǔn)在漏洞的風(fēng)險(xiǎn)評估和應(yīng)用調(diào)整中將會(huì)起到更大的建設(shè)性意見”。

ISO 29147提供準(zhǔn)備接受外部漏洞報(bào)告的指導(dǎo)方針，第一個(gè)要求是對供應(yīng)商提出的，將使報(bào)告者更容易地同內(nèi)部的負(fù)責(zé)人取得聯(lián)系。

凱蒂說道，“漏洞發(fā)現(xiàn)者可以很容易地找到提交漏洞報(bào)告的門路，它必須是明顯的，并是容易使用的。因?yàn)槿绻皇沁@樣，他們就可能會(huì)求助于其他的渠道，如媒體或網(wǎng)絡(luò)論壇等”。

接下來的事情就是確認(rèn)收到的漏洞報(bào)告，該標(biāo)準(zhǔn)將保證報(bào)告必須在7天內(nèi)完成處理。

而ISO 30111也提供了調(diào)查和修補(bǔ)漏洞的指導(dǎo)方針和建議：

1.有一個(gè)組織和過程來支持排查、整治；

2.執(zhí)行根本原因分析，找出所有可能受影響的產(chǎn)品、服務(wù)；

3.如果漏洞影響多個(gè)產(chǎn)品、服務(wù)，根據(jù)嚴(yán)重等級來定優(yōu)先級；

4.平衡解決速度——如果是高威脅，可以考慮立即采取臨時(shí)的解決辦法；

5.如可能與其他供應(yīng)商展開協(xié)作。

當(dāng)然也有幾種可能，對修正不適用，如下：

1.一個(gè)無法復(fù)制的脆弱性；

2.該漏洞是已在調(diào)查中；

3.該漏洞僅影響已經(jīng)過時(shí)的產(chǎn)品；

4.漏洞是無法利用的；

5.漏洞是在第三方產(chǎn)品、服務(wù)。

凱蒂期望ISO 30111能切實(shí)提高供應(yīng)商展開安全漏洞的調(diào)查和整治級別，提高封堵安全漏洞的速度和質(zhì)量水平。