RSA:站在用户的角度探讨漏洞披露的责任

　　如果你是Microsoft、Adobe或任意其它主要的商业软件厂商，千万不要给大陆航空公司的首席信息安全官Tim Stanley添堵，他不是被大量急需修复的bug缠身就是缺乏应对那些问题的资源。

　　“不要告诉我你下决心修复漏洞的痛苦，我不关心这些。你本身就是干软件行业的，那些代码是你写出来的，出现的问题也应该由你来解决。如果你不能处理好，就不要在那行混饭吃。”

　　Metasploit的创建者HD Moore在开场白中谈到了从发现bug到补丁发布的时间跨度，微软的高级安全战略家Katie Moussouris认为厂商和研究人员之间保持持续的沟通非常重要。Stanley代表了广大的用户，他们是漏洞披露辩论中常常被忽视的群体。通常这些辩论会的观点都出自研究人员或厂商，但此次2010 RSA大会的小组讨论中Stanley站上了发言台，他是Microsoft和Adobe的一位大客户。Stanley并没有将太多时间浪费在发牢骚上，他敏锐地抨击了一些厂商和研究人员的开场白内容。

　　“我很欣赏厂商和研究人员之间的友好沟通，但坦白来说，我很不满意他们的做法。我是用户，产品的费用是由我来支付的，我有理由要求漏洞在第一时间内被修复好。我烦透了各层关系带来的延时。微软知道了某个bug，研究人员知道了这个bug，而我是这一软件的最终付费者。什么时候才轮到我弄清楚问题呢?”

　　Stanley说：“现在的问题出在人们支付了产品的费用，他们需要了解进展的具体情况。”

　　Stanley引发的这一论调旗帜鲜明，不属于以往的任何常规讨论主题：厂商分类和bug补丁修复的优先次序，零日漏洞如何影响补丁周期，以及回归测试和补丁的稳定性。

　　例如，Moore称漏洞披露问责有误——责任在厂商。研究人员受惠于厂商，他们会将bug通告给厂商，再由厂商决定这一发现何时公开。“如果你有证据证明外界已发生相应的漏洞攻击，而厂商还没有发布补丁来进行修复，这种情况下是厂商还是你不负责任没有上报呢?”

　　Adobe的产品安全和隐私主管Brad Arkin称，外界发出的有关其Flash and Reader产品的bug会被列入较高的优先级。Arkin说他的团队会首先试图再现问题情况，并基于问题细节公开的程度确定它给用户带来的风险级别。

　　Arkin说：“如果漏洞的详情已完全公开，补丁修复就要以更快的速度完成。我们会努力将漏洞范围缩小，但这种情况下的成本会更高。我们随后会修复其他的bug。”

　　Katie Moussouris称微软采取的也是类似的方式。

　　“当研究人员报告某一漏洞时，我们并不一定会调动所有资源来应对这一漏洞。举个例子，如果外界发现微软出现了严重漏洞，但我们之前发现的内部漏洞有可能比这一漏洞的优先级更高，更容易被攻击。厂商需要向研究人员表示其正在解决他们提出的问题，但发现了一些回归测试或变种，需要优先处理其他一些问题。”

　　微软的安全开发生命周期(SDL)在很多方面已成为将安全引进软件设计和测试的行业标准。Windows安全已收紧了操作系统的连续迭代，而且其例行补丁发布已简化了全球IT部门规划。Moussouris说，微软过去那段基本上将QA测试外包给客户的安全更新历程已一去不复返了。

　　Moussouris对Stanley说：“有些更新一次又一次地发布出来是因为它们打破了共同的安装环境，你不关心可能由此引发的资源分配难点，但我可以肯定你会关心你系统的稳定性。”