谷歌提出更透明的漏洞管理实践

谷歌最近发布了一份白皮书，呼吁供应商提高其漏洞管理实践的透明度。

这家互联网巨头长期支持漏洞披露和修补合作，认为漏洞修补的无休止“死循环”正在让防御者和用户筋疲力尽。此外，为应对新的攻击趋势而创建的工具似乎无助于改善这种情况。 

谷歌表示，打破这个循环需要关注安全软件开发的基础，采用最佳补丁实践，并确保补丁从一开始就简单安全。为此，供应商需要了解漏洞的根本原因并应用完整的修复程序。

该公司表示：“优先分析根本原因将使行业、政府和最终用户能够开始摆脱漏洞响应的疲惫仓鼠轮。”

谷歌表示，漏洞不仅会带来巨大的零日风险，而且如果它们仍未修补，也会削弱企业和最终用户的安全态势。该公司建议，打补丁的频率、自动打补丁以及如何提供修复（作为独立补丁或系统更新的一部分）应该是所有供应商关注的焦点。

“虽然臭名昭著的零日漏洞通常会成为头条新闻，但即使在已知并修复之后，风险仍然存在，这是真实的情况。这些风险涵盖了从 OEM 采用滞后时间、补丁测试痛点、最终用户更新问题等各个方面，”谷歌表示。

由于 2022 年发现的许多被利用的零日漏洞是先前修补的安全缺陷的变体，由于修复不完整，谷歌还呼吁供应商增加关注，以确保全面解决风险。

此外，该公司的文件强调，该行业应该投资于使客户更容易进行补丁测试和实施，否则企业可能会落后于采用难以应用的修复程序。还应采用更全面的政策来解决产品生命周期问题。

“产品应附带有关预期寿命（包括到期日期）的政策，以及针对下游客户的支持和通知模型，”谷歌指出。

在今天的论文中，这家互联网巨头提到了黑客政策委员会的成立，该委员会由一群决心提高用户安全性的组织和领导人组成，作为倡导漏洞管理和披露最佳实践的第一步。

该文件还呼吁供应商和政府在漏洞利用和修补方面更加透明，以支持开发生态系统范围的缓解措施，特别是因为有些供应商悄悄发布安全修复程序，而没有警告社区发现的缺陷。

“供应商应让用户、供应链合作伙伴和社区了解这种剥削行为，并在可能的情况下通过公开披露和直接外联的方式及时通知受害者。[...] 应该共享漏洞和利用的更多详细信息，以提高研究人员的知识和防御能力，”谷歌提倡。

这家互联网巨头表示，提高透明度将确保用户更快地应用缓解措施，并“将帮助行业和政策制定者了解挑战的范围，以及该行业是否真正在这一领域有所改善。” 然而，新政策不应强迫组织过度报告事件，而应根据其对安全的影响进行评估。

根据谷歌的说法，更好地支持漏洞猎人是推进生态系统的另一个关键点，通过区分防御目的研究和恶意活动的法律框架，但不强制研究人员在通知供应商之前将已发现的缺陷告知政府。

“我们相信任何人，无论背景如何，都应该能够为漏洞研究做出贡献。最终，漏洞报告是信息，组织不应该限制他们从社区接收有用信息的能力，”谷歌说。

今天，这家互联网巨头宣布它正在为安全研究法律辩护基金提供种子资金，该基金旨在保护面临法律威胁但无法获得法律顾问的善意安全研究人员。

“在这些问题上取得进展需要利益相关者之间的合作，包括开发攻击者试图利用的平台和服务的行业；研究人员，他们不仅发现漏洞，而且识别并推动可以关闭整个攻击途径的缓解措施；不幸的是，用户仍然承担着过高的安全负担；和政府，他们创造了影响所有这些其他参与者行为的激励结构，”谷歌说。

原文始发于微信公众号（河南等级保护测评）：谷歌提出更透明的漏洞管理实践