负责 有关声明 指的是大多数安全研究人员遵循的最佳实践,即不泄露关键 漏洞 软件产品中,直到供应商提供补丁或修复程序为止。这通常在以下团队中发挥作用: Google的零项目,一个专门发现和修复安全漏洞的团队,发现漏洞后不会向公众披露信息。安全分析师和研究人员无法公开分享信息的原因是 黑客 和 网络罪犯 攻击和利用已公布的漏洞的速度通常比供应商发布补丁的速度要快得多,而客户可以部署补丁来保护自己及其网络、数据和系统。这就是为什么这被称为“负责任的披露”,并被认为是最佳实践,尽管目前没有法律强制安全研究人员遵守这一点。
相关术语: Bug Bounty程序,漏洞, 零日漏洞
相关阅读: 联网医疗设备的网络研究和漏洞披露面临的挑战
来源: CSO在线
是的。许多中小企业开发用于在线分发和使用的软件。作为中小企业的所有者,您应该考虑宣传 错误赏金计划 鼓励“负责任的披露” 由安全研究人员提供。对于那些发现您软件中严重漏洞的人来说,这是一种小小的经济激励,让他们把漏洞报告给您,而不是在暗网或深网出售。
其次,中小企业应该建立漏洞警报管理流程(又称 VAMP),其中概述了修补业务运营所需软件和硬件中关键漏洞的目标时间表。对于可能远程危害您的网络、数据或系统的 1 级漏洞,您需要尽快进行修补。
CyberHoot 有一个 VAMP 流程,可帮助指导 SMB 开发与零日漏洞、修补和负责任披露相关的最佳实践。
https://youtube.com/watch?v=t5UKO4jjevw
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
