現(xiàn)在有關(guān)漏洞披露的辯論非常激烈：一方面企業(yè)有權(quán)力知道自己正處于危險(xiǎn)之中，但另一方面，供應(yīng)商需要時(shí)間來修復(fù)漏洞。那么，哪一方面更重要呢?

軟件漏洞將一直存在，壞人會(huì)設(shè)法找到并利用它們，而好人也會(huì)嘗試尋找漏洞并……

這句話應(yīng)該怎樣補(bǔ)充完整是安全研究人員和軟件供應(yīng)商目前最為關(guān)注的熱門話題，而且，自1998年Morris蠕蟲病毒成為第一個(gè)廣泛傳播的病毒以來，這一直是大家關(guān)注的焦點(diǎn)。

Project Zero是由谷歌內(nèi)部安全分析師組成的團(tuán)隊(duì)，旨在發(fā)現(xiàn)零日漏洞利用。最近該團(tuán)隊(duì)再次引發(fā)了有關(guān)研究人員應(yīng)該何時(shí)以及如何披露漏洞的爭論。事情經(jīng)過是這樣：該團(tuán)隊(duì)在向微軟公司報(bào)告其產(chǎn)品中零日漏洞的90天后自動(dòng)披露了這些漏洞，主要因?yàn)槲④洓]有及時(shí)進(jìn)行修復(fù)。

對(duì)潛在危險(xiǎn)的軟件漏洞進(jìn)行公開披露背后的理由是：這種漏洞披露會(huì)給供應(yīng)商施加壓力以讓他們發(fā)布補(bǔ)丁，并且客戶有權(quán)利知道他們的系統(tǒng)是否存在危險(xiǎn)，使他們能夠決定在補(bǔ)丁發(fā)布前如何更好地保護(hù)其系統(tǒng)。與之相對(duì)的觀點(diǎn)是，對(duì)軟件漏洞保密可以讓它們不被攻擊者利用。然而，這種方法的問題在于，攻擊者自己可以發(fā)現(xiàn)漏洞，而軟件公司不太可能花時(shí)間和金錢去修復(fù)未公開的漏洞。

軟件行業(yè)最初反對(duì)獨(dú)立漏洞研究以及公開披露漏洞的做法。例如，在2005年，思科對(duì)安全研究人員Mike Lynn和Black Hat采取了法律行動(dòng)，因?yàn)樗麄兘忉屃巳绾芜\(yùn)行攻擊代碼以控制思科路由器。值得慶幸的是，該行業(yè)最終認(rèn)同漏洞披露是有益的，但對(duì)于應(yīng)該如何處理漏洞披露，目前仍然無法達(dá)成一致意見。主要問題在于在公開漏洞前應(yīng)該給企業(yè)多長時(shí)間來修復(fù)漏洞。如果沒有時(shí)間期限，供應(yīng)商不可能優(yōu)先開發(fā)補(bǔ)丁的工作。在1999年，黑客網(wǎng)站Nomad Mobile Research Centre表示他們?cè)诠悸┒粗皶?huì)給供應(yīng)商一個(gè)月的時(shí)間。一年后，RFPolicy只給供應(yīng)商五個(gè)工作日來與向他們報(bào)告漏洞的人進(jìn)行溝通。如此這般短的窗口期部分是因?yàn)闆]有得到應(yīng)有的回饋所導(dǎo)致，在收到軟件漏洞的詳細(xì)信息后，很多供應(yīng)商都沒有響應(yīng)以及開發(fā)補(bǔ)丁。一刀切最后期限并沒有什么意義，畢竟補(bǔ)丁開發(fā)和測試時(shí)間可能有所不同。

軟件行業(yè)逐漸開始推行負(fù)責(zé)任的軟件漏洞披露模式，即在公開發(fā)布漏洞詳細(xì)信息之前，所涉及的所有人要對(duì)漏洞修復(fù)時(shí)間期限達(dá)成一致意見。畢竟，制定標(biāo)準(zhǔn)響應(yīng)時(shí)間只能取得有限的成功，因?yàn)楣?yīng)商和研究團(tuán)隊(duì)都是以不同的時(shí)間表來運(yùn)作。ISO/IEC 29147 2014對(duì)供應(yīng)商應(yīng)該如何接收有關(guān)其產(chǎn)品或在線服務(wù)潛在漏洞信息以及如何披露它們提供了指導(dǎo)意見，但其中并沒有涉及供應(yīng)商應(yīng)該在多長時(shí)間內(nèi)修復(fù)補(bǔ)丁。另外，微軟有其自己的政策—Coordinated Vulnerability Disclosure(協(xié)調(diào)漏洞披露)，該政策主要推動(dòng)與研究人員的合作，其中鼓勵(lì)負(fù)責(zé)任的披露而非完全披露。負(fù)責(zé)任的披露規(guī)定，在供應(yīng)商發(fā)布補(bǔ)丁之前，秘密地將漏洞報(bào)告給供應(yīng)商，而不是其他任何人。這有利于實(shí)現(xiàn)與供應(yīng)商發(fā)布更新步調(diào)一致的協(xié)調(diào)公開披露。

當(dāng)然，對(duì)于如何處理軟件漏洞的整個(gè)話題，大家都有著不同的看法。在2002年黑帽大會(huì)上，安全研究人員David Litchfield展示了SQL服務(wù)器漏洞利用的概念證明代碼，隨后該研究人員發(fā)現(xiàn)該代碼被用作Slammer蠕蟲病毒的模板，這讓他開始質(zhì)疑公開披露其代碼的好處。Anti Security Movement(反安全運(yùn)動(dòng))組織完全反對(duì)完整披露有關(guān)軟件漏洞的信息，因?yàn)樗麄冋J(rèn)為這可能會(huì)讓腳本小子利用它們來攻擊系統(tǒng)。而支持美國中情局的非營利性機(jī)構(gòu)In-Q-Tel首席信息安全官Dan Geer則提出了這樣的觀點(diǎn)，美國政府應(yīng)該公開壟斷全球漏洞市場，并將這些漏洞公開;這不僅會(huì)鼓勵(lì)更多研究人員尋找漏洞，還將會(huì)阻止大多數(shù)惡意軟件編寫者和黑客。

可以肯定的是，從長期來看，對(duì)漏洞保持隱秘并不可行，但不考慮各種情況的嚴(yán)格信息披露時(shí)間表也不利于用戶。對(duì)于谷歌Project Zero在補(bǔ)丁開發(fā)好前披露漏洞以讓大多數(shù)用戶可以采取緩解行為的做法，微軟做出了很好的回應(yīng)：“那些認(rèn)同全面公開披露漏洞信息的人認(rèn)為這會(huì)迫使用戶保護(hù)自己，但其實(shí)絕大多數(shù)用戶不會(huì)采取任何行動(dòng)，而在很大程度上依賴軟件供應(yīng)商來發(fā)布安全更新。”

自那以后，谷歌的Project Zero在其軟件漏洞披露政策中為供應(yīng)商增加了更多的回旋余地，讓供應(yīng)商可以選擇延長兩個(gè)星期時(shí)間以便他們順利發(fā)布補(bǔ)丁，但在給供應(yīng)商足夠時(shí)間來管理敏感資源密集型過程的同時(shí)，對(duì)于供應(yīng)商做出響應(yīng)的適當(dāng)時(shí)間期限，業(yè)界并沒有達(dá)成共識(shí)。CERT的45天披露政策中稱，在公開披露安全漏洞的需要以及供應(yīng)商需要時(shí)間作出響應(yīng)之間需要進(jìn)行平衡。雅虎的90天政策指出，“我們?cè)窖杆俳鉀Q風(fēng)險(xiǎn)，攻擊造成的傷害就越小”，而TippingPoint的Zero Day計(jì)劃認(rèn)為120天政策就足夠。

如果漏洞披露政策不考慮各種情況，可能會(huì)弊大于利。這個(gè)行業(yè)需要與善意的安全研究人員攜手合作，以負(fù)責(zé)任的態(tài)度不斷提高軟件的質(zhì)量，從而推動(dòng)整個(gè)互聯(lián)網(wǎng)的發(fā)展。