曹婉瑩 曹旭棟 葛平原 張玉清,

1(中國科學(xué)院大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 北京 100049)

2(海南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 ?？?570228)

1 網(wǎng)絡(luò)安全漏洞

近年來,隨著軟件規(guī)模的不斷擴(kuò)大,針對各種軟件的漏洞攻擊也不斷涌現(xiàn).利用網(wǎng)絡(luò)安全漏洞實(shí)施攻擊的安全事件在全球范圍內(nèi)頻發(fā),給網(wǎng)絡(luò)空間安全帶來不可逆的危害[1],如攻擊者可以通過惡意攻擊破壞計(jì)算機(jī)的正常功能,竊取敏感信息等[2].隨著網(wǎng)絡(luò)空間戰(zhàn)略地位不斷凸顯,網(wǎng)絡(luò)空間對抗主體呈現(xiàn)國家化趨勢.美國等發(fā)達(dá)國家積極推進(jìn)網(wǎng)絡(luò)空間軍事化,組建專門的網(wǎng)絡(luò)作戰(zhàn)部隊(duì),發(fā)展先進(jìn)的網(wǎng)絡(luò)武器[3].因此,網(wǎng)絡(luò)安全漏洞成為國家的一個(gè)重要網(wǎng)絡(luò)戰(zhàn)略資源,國家的漏洞共享以及漏洞披露的政策也成為人們重點(diǎn)研究的內(nèi)容.

1.1 網(wǎng)絡(luò)安全漏洞的分類

安全漏洞是指計(jì)算機(jī)系統(tǒng)中存在的缺陷、弱點(diǎn)或故障.這些缺陷、弱點(diǎn)或故障分布于計(jì)算機(jī)系統(tǒng)的各個(gè)層次.網(wǎng)絡(luò)安全漏洞具有多方面的屬性,安全漏洞產(chǎn)生或觸發(fā)的原因也不盡相同.當(dāng)下,網(wǎng)絡(luò)安全研究人員對于軟件安全漏洞的分類也有不同的方式.司群[4]根據(jù)安全漏洞的技術(shù)維度將其分為基于利用位置的漏洞、基于威脅分類的漏洞和基于技術(shù)類型的漏洞3類;徐宏昌[5]則將軟件安全漏洞整體分為功能性漏洞和安全性漏洞;趙尚儒等人[6]統(tǒng)計(jì)了當(dāng)前漏洞自動化利用研究中常見的漏洞類型,將安全漏洞大致分類為內(nèi)存破壞類、Web注入類、參數(shù)篡改漏洞、安卓意圖欺騙和信息泄露等漏洞類型.

此外,漏洞與時(shí)間緊密相關(guān),通常漏洞從發(fā)現(xiàn)到解決過程中,存在漏洞發(fā)現(xiàn)、漏洞信息公布和漏洞修復(fù)3個(gè)重要的時(shí)間點(diǎn).根據(jù)漏洞公布時(shí)間的不同,安全漏洞也可以分為0-day,1-day,n-day漏洞.0-day漏洞是危害最大的漏洞,也是對攻擊者最有價(jià)值的漏洞,一般只被發(fā)現(xiàn)此安全漏洞的人掌握漏洞信息,而未被軟件廠商修復(fù);1-day漏洞是指剛公布的漏洞或公布后在短期內(nèi)打補(bǔ)丁的漏洞;n-day漏洞是指安全漏洞已經(jīng)被公布n天,其利用價(jià)值相對較低.

1.2 網(wǎng)絡(luò)安全漏洞的評估

漏洞條目的嚴(yán)重性可以通過很多方式來評估,不同漏洞庫存在專屬的漏洞嚴(yán)重性評估方案.目前國際上主流的信息安全漏洞等級劃分系統(tǒng)是通用漏洞評分系統(tǒng)(common vulnerability scoring system, CVSS),該系統(tǒng)在評估漏洞嚴(yán)重性時(shí)涵蓋了基本評價(jià)、生命周期評價(jià)和環(huán)境評價(jià)3種類型的評價(jià)分?jǐn)?shù).每個(gè)評價(jià)類型也包含多個(gè)細(xì)分的評價(jià)指標(biāo),以便確定漏洞的緊急度和重要度,保證漏洞修復(fù)的及時(shí)性.

2 公共漏洞數(shù)據(jù)庫

公共漏洞數(shù)據(jù)庫的出現(xiàn)推進(jìn)了漏洞披露和修復(fù)的研究步伐,絕大多數(shù)安全研究人員基于該類平臺提交漏洞信息,其中最具影響力的是通用漏洞披露(common vulnerabilities and exposures, CVE)與美國國家漏洞數(shù)據(jù)庫(national vulnerability database, NVD).

我國也有一些公共漏洞數(shù)據(jù)庫,如國家信息安全漏洞共享平臺、中國國家信息安全漏洞庫、國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心等,其秉持著降低漏洞可能帶來的風(fēng)險(xiǎn)、努力使社會大眾和用戶獲得有效的網(wǎng)絡(luò)安全防護(hù)的目的,履行漏洞分析評估確定以及風(fēng)險(xiǎn)評估職能.

3 網(wǎng)絡(luò)安全漏洞披露

網(wǎng)絡(luò)安全漏洞披露是安全漏洞信息共享的重要環(huán)節(jié),用于描述與接收漏洞報(bào)告和提供漏洞補(bǔ)救信息相關(guān)的活動.正確、高效的安全漏洞披露能夠在一定程度上減少漏洞傳播的范圍,而惡意或非法的安全漏洞披露則為攻擊者提供了可利用的攻擊工具.網(wǎng)絡(luò)安全漏洞披露已經(jīng)成為網(wǎng)絡(luò)安全風(fēng)險(xiǎn)控制的中心環(huán)節(jié),對于降低風(fēng)險(xiǎn)和分化風(fēng)險(xiǎn)起著至關(guān)重要的作用.

3.1 安全漏洞披露形式

網(wǎng)絡(luò)安全漏洞披露通常表現(xiàn)為以下4種形式:

1) 不披露.

不披露是指在發(fā)現(xiàn)安全漏洞時(shí),既不向廠商匯報(bào)也不向相關(guān)公共漏洞數(shù)據(jù)庫報(bào)告,安全漏洞在不披露時(shí)很容易發(fā)展為0-day漏洞,危害國家網(wǎng)絡(luò)安全的發(fā)展.

2) 完全披露.

完全披露與不披露正好相反,漏洞發(fā)現(xiàn)者不給廠商充足的時(shí)間進(jìn)行漏洞修復(fù),而是在發(fā)現(xiàn)漏洞后就立即公開.

3) 負(fù)責(zé)任披露.

負(fù)責(zé)任披露是指漏洞發(fā)現(xiàn)者本著負(fù)責(zé)任的態(tài)度與廠商匯報(bào)安全漏洞,其兼顧了廠商和用戶的利益,是一種較為中立的安全漏洞披露方式.

4) 協(xié)同披露.

協(xié)同披露鼓勵(lì)漏洞發(fā)現(xiàn)者、廠商與相關(guān)安全機(jī)構(gòu)共享漏洞信息,協(xié)同配合,積極處理網(wǎng)絡(luò)安全漏洞,共同保障公共利益與國家的安全[7].

3.2 中國安全漏洞披露

高效的網(wǎng)絡(luò)安全漏洞共享離不開網(wǎng)絡(luò)安全漏洞的正確披露,我國有特定的安全漏洞披露流程.工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室和公安部聯(lián)合發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理》[8]的安全漏洞披露流程如下:

1) 從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或個(gè)人在發(fā)現(xiàn)漏洞后需向?qū)?yīng)的境內(nèi)網(wǎng)絡(luò)產(chǎn)品提供者匯報(bào);

2) 境內(nèi)網(wǎng)絡(luò)產(chǎn)品提供者在獲知或自身發(fā)現(xiàn)所提供產(chǎn)品存在安全漏洞后,進(jìn)行以下操作:

① 驗(yàn)證安全漏洞,評估安全漏洞的危害程度及影響范圍;

② 立即通知存在安全漏洞的相關(guān)上游產(chǎn)品或組件的提供者;

③ 2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺[9]報(bào)送存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號和版本等漏洞信息;

④ 及時(shí)修補(bǔ)存在網(wǎng)絡(luò)安全漏洞的產(chǎn)品,對于需要產(chǎn)品使用者采取軟件、固件升級等措施時(shí),將網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)及修補(bǔ)方式告知可能受影響的用戶并提供必要的技術(shù)支持;

3) 最終,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺會同步向國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心通報(bào)相關(guān)漏洞信息,本文認(rèn)為其屬于協(xié)同披露.

3.3 美國安全漏洞披露

為了有效應(yīng)對日益加劇的安全漏洞威脅,美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency, CISA)在發(fā)布的cybersecurity incident &vulnerability response playbooks中規(guī)范了網(wǎng)絡(luò)安全漏洞和事件響應(yīng)程序的網(wǎng)絡(luò)安全漏洞事件披露與響應(yīng)階段過程和完成情況,包括準(zhǔn)備、檢測、分析、遏制、消除、恢復(fù)等[10].這些事件可以由以下幾種類型的事件發(fā)起,包括但不限于:

1) 自動檢測系統(tǒng)或傳感器安全警報(bào);

2) 機(jī)構(gòu)用戶報(bào)告;

3) 承包商或第三方信息與通信技術(shù)服務(wù)提供商報(bào)告;

4) 內(nèi)部或外部組織組件的事件披露或態(tài)勢感知更新;

5) 已知受損基礎(chǔ)設(shè)施的網(wǎng)絡(luò)活動、惡意代碼檢測等的第三方報(bào)告;

6) 識別潛在惡意或其他未經(jīng)授權(quán)活動的分析團(tuán)隊(duì).

若在5)中檢測到安全事件則向網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局聲明報(bào)告,并提醒相關(guān)機(jī)構(gòu)進(jìn)行調(diào)查和響應(yīng),在此過程中聲明報(bào)告是指與CISA和代理網(wǎng)絡(luò)維護(hù)者溝通,而不是根據(jù)適用法律和政策的規(guī)定正式聲明重大漏洞事件.

3.4 中美2國安全漏洞披露比較

針對加強(qiáng)國家網(wǎng)絡(luò)安全的要求,中美2個(gè)國家都對網(wǎng)絡(luò)安全漏洞的披露做了指南和規(guī)范.但是中美2國的披露重點(diǎn)存在差異,中國側(cè)重于明確網(wǎng)絡(luò)安全相關(guān)從業(yè)者及廠商在發(fā)現(xiàn)漏洞后的具體操作方法;美國側(cè)重于規(guī)范政府機(jī)構(gòu)應(yīng)對緊急和高優(yōu)先級漏洞時(shí)應(yīng)遵循的流程.美國制定了一套標(biāo)準(zhǔn)程序,在重大事件發(fā)生之前作好充足的準(zhǔn)備和記錄,在處理漏洞披露的各個(gè)階段需要做的工作清晰明確.雖然我國在此安全漏洞披露流程中沒有對后期漏洞響應(yīng)作詳盡的規(guī)定,但是我國的相關(guān)規(guī)定給出了漏洞上報(bào)的具體時(shí)限以及漏洞披露的相關(guān)信息,如產(chǎn)品名稱、型號和版本等,并要求網(wǎng)絡(luò)產(chǎn)品提供者及時(shí)進(jìn)行補(bǔ)丁修復(fù).

4 安全漏洞共享

安全漏洞共享是指網(wǎng)絡(luò)安全廠商、網(wǎng)絡(luò)安全機(jī)構(gòu)、網(wǎng)絡(luò)安全研究人員、國家等主體之間的漏洞安全信息共享,本節(jié)主要分析了中國和美國的安全漏洞共享規(guī)定.

4.1 中國安全漏洞共享規(guī)定

我國對于漏洞共享也作了強(qiáng)制規(guī)定,網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定[8]中第9條指出:

1) 網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個(gè)人不得在境內(nèi)網(wǎng)絡(luò)產(chǎn)品提供者提供網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)措施之前發(fā)布漏洞信息.

2) 如有必要提前發(fā)布的,應(yīng)當(dāng)與相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者共同評估協(xié)商,并向工業(yè)和信息化部、公安部報(bào)告,由工業(yè)和信息化部、公安部組織評估后進(jìn)行發(fā)布.

3) 同時(shí),明確規(guī)定對于漏洞發(fā)現(xiàn)、收集的組織或個(gè)人,不得發(fā)布網(wǎng)絡(luò)運(yùn)營者在用的網(wǎng)絡(luò)、信息系統(tǒng)及其設(shè)備存在安全漏洞的細(xì)節(jié)情況,也不得發(fā)布或者提供專門用于利用網(wǎng)絡(luò)產(chǎn)品安全漏洞從事危害網(wǎng)絡(luò)安全活動的程序和工具.除此以外,在國家舉辦重大活動期間,在未經(jīng)公安部同意的情況下不得擅自發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞信息.

4) 對于境內(nèi)網(wǎng)絡(luò)產(chǎn)品提供者,在發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后,必須在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報(bào)送相關(guān)漏洞信息,報(bào)送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號、版本以及漏洞的技術(shù)特點(diǎn)、危害和影響范圍等.

5) 如果滿足發(fā)布條件,在發(fā)布網(wǎng)絡(luò)產(chǎn)品安全漏洞時(shí),應(yīng)當(dāng)同步發(fā)布修補(bǔ)或者防范措施.

6) 此外,網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織或者個(gè)人不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個(gè)人提供.

4.2 美國安全漏洞共享規(guī)定

2021年,美國商務(wù)部工業(yè)與安全局(The Bureau of Industry and Security, BIS)基于2017年《瓦森納協(xié)定》中關(guān)于網(wǎng)絡(luò)安全條目出口管制項(xiàng)的修正結(jié)論發(fā)布Information Security Controls: Cybersecurity Items規(guī)定. 規(guī)定出于國家安全和反恐的原因,對授權(quán)網(wǎng)絡(luò)安全出口許可例外(authorize cybersecurity exits, ACE)以及出口管理?xiàng)l例(Export Administration Regulations, EAR) 進(jìn)行更改.

該規(guī)定將全球國家分為A,B,D,E這4類,網(wǎng)絡(luò)安全相關(guān)限制措施和嚴(yán)格程度逐步遞增,我國被分為D類[11],即最受關(guān)注、限制國家和地區(qū).如圖1所示,規(guī)定對部分密碼分析項(xiàng)目、網(wǎng)絡(luò)滲透工具、自動化網(wǎng)絡(luò)漏洞分析和響應(yīng)工具制定新的控制措施,以及定義新的授權(quán)網(wǎng)絡(luò)安全出口許可例外, 未明確地聲明禁止向我國進(jìn)行安全漏洞分享.

圖1 BIS對部分網(wǎng)絡(luò)安全項(xiàng)目的出口限制

美國商務(wù)部工業(yè)和安全局發(fā)布的Information Security Controls: Cybersecurity Items規(guī)定[12]指出,美國在與D類國家和地區(qū)的政府最終用戶進(jìn)行合作時(shí),必須要提前申請,獲得許可后才能共享網(wǎng)絡(luò)安全項(xiàng)目信息,如圖2所示.

圖2 BIS與其他國家政府最終用戶合作的前提

這里的“政府最終用戶”是指提供任何政府職能或服務(wù)的國家、地區(qū)或地方部門、機(jī)構(gòu)或?qū)嶓w,包括代表此類實(shí)體行事的實(shí)體或個(gè)人,其包括但不限于國際政府組織和政府經(jīng)營的研究機(jī)構(gòu),但不包括表1的人員.

表1 優(yōu)待網(wǎng)絡(luò)安全最終用戶

如圖3所示,對于政府最終用戶,授權(quán)網(wǎng)絡(luò)安全許可例外僅授權(quán)部分場景的出口和再出口、或轉(zhuǎn)讓,主要包含表1用戶、國家的警察或者司法機(jī)構(gòu)、國家計(jì)算機(jī)安全事件應(yīng)急響應(yīng)小組以及用于刑事或民事調(diào)查或起訴的網(wǎng)絡(luò)安全事件.

圖3 D類國家和地區(qū)的授權(quán)網(wǎng)絡(luò)安全出口許可例外

對于D:1組或D:5組[11]國家的“非政府最終用戶”允許出口,但是不包括針對表1用戶進(jìn)行部分規(guī)定中定義的網(wǎng)絡(luò)安全條目、漏洞披露或網(wǎng)絡(luò)事件響應(yīng)的出口.簡單來說,中國政府最終用戶將無法直接獲得美國軟件供應(yīng)商提供的涉及“入侵軟件”的“網(wǎng)絡(luò)安全條目”或“數(shù)字組件”的漏洞信息以及網(wǎng)絡(luò)事件響應(yīng)相關(guān)的信息[13].

4.3 中美2國漏洞共享比較

對于漏洞共享,美國重點(diǎn)關(guān)注政府最終用戶的有關(guān)入侵軟件的漏洞共享,而我國則強(qiáng)調(diào)在提供網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)措施之前盡可能不共享漏洞信息.如有特殊情況,則需向工業(yè)和信息化部、公安部報(bào)告,其規(guī)定了漏洞共享的具體對象,且在大多數(shù)情況下,漏洞本身的信息與修補(bǔ)措施是一起共享,在一定程度上防止惡意攻擊者利用漏洞.美國出于國家安全和反恐考慮,對于部分網(wǎng)絡(luò)漏洞分析和響應(yīng)工具作了限制,在一定程度有利于維護(hù)國家安全,但從長遠(yuǎn)來看,美國將無法從實(shí)力強(qiáng)勁的其他國家政府最終用戶獲取相關(guān)信息.

5 安全漏洞共享案例

工業(yè)和信息化部與工信部網(wǎng)絡(luò)安全威脅信息共享平臺、網(wǎng)絡(luò)安全廠商協(xié)同工作進(jìn)行漏洞披露,以尋找能夠降低安全漏洞安全風(fēng)險(xiǎn)的解決方案[14].然而,作為工業(yè)和信息化部的合作單位之一,阿里云計(jì)算有限公司(以下簡稱“阿里云”)在2021年底卻因未有效支撐有關(guān)部門進(jìn)行漏洞管理而受到處罰.

2021年12月,據(jù)工信部網(wǎng)絡(luò)安全管理局通報(bào),阿里云在發(fā)現(xiàn)Apache Log4j2組件的嚴(yán)重安全漏洞隱患后,遂以郵件方式向總部位于美國的軟件開發(fā)方Apache的開源社區(qū)報(bào)告了這一問題以請求幫助,但未及時(shí)向國內(nèi)電信主管部門報(bào)告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理.經(jīng)研究,工信部網(wǎng)絡(luò)安全管理局最終決定暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個(gè)月[15].

在Apache安全團(tuán)隊(duì)發(fā)布的用戶指南中,Apache安全團(tuán)隊(duì)對于漏洞披露過程有詳細(xì)的披露流程,其過程可以概述為:

1) 報(bào)告人向Apache安全團(tuán)隊(duì)報(bào)告發(fā)現(xiàn)的漏洞;

2) 相應(yīng)項(xiàng)目的安全團(tuán)隊(duì)與報(bào)告者合作解決漏洞;

3) 對受漏洞影響的軟件包進(jìn)行修復(fù)并發(fā)布新版本;

4) 公開宣布發(fā)現(xiàn)的漏洞并描述如何應(yīng)用修復(fù)程序.

根據(jù)Apache安全團(tuán)隊(duì)在其官網(wǎng)發(fā)布的用戶指南[16],阿里云第一時(shí)間通過郵件的形式向Apache提交了漏洞報(bào)告,這一行為是被Apache所提倡的.阿里云表示因其在早期并未意識到該漏洞的嚴(yán)重性,未及時(shí)和國內(nèi)相關(guān)單位共享漏洞信息,之后將強(qiáng)化漏洞報(bào)告管理,提升合規(guī)意識,積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范工作.

6 總 結(jié)

盡管近年來我國在網(wǎng)絡(luò)安全漏洞立法方面取得了積極進(jìn)展,但相較一些發(fā)達(dá)國家仍存在一些差距,美國等國家相關(guān)政策經(jīng)驗(yàn)以及一些國內(nèi)的安全漏洞披露與共享案例可以提供有價(jià)值的參考和啟發(fā).

綜合來看,目前我國安全漏洞管理規(guī)定中,對責(zé)任、時(shí)間要素等規(guī)定不明確.如沒有考慮國內(nèi)廠商收到白帽子上報(bào)漏洞后,并不愿意事后披露或者盡可能推延的情況.針對此問題,可以參考國際通用的漏洞披露規(guī)定,如在上報(bào)45天后,漏洞發(fā)現(xiàn)者可以自行公布漏洞等等.此外,對于我國漏洞披露規(guī)定中提到的及時(shí)修補(bǔ)存在網(wǎng)絡(luò)安全漏洞的產(chǎn)品,應(yīng)作更詳盡的規(guī)定和要求,如可以規(guī)定具體的時(shí)間限制.

對于我國漏洞共享的相關(guān)規(guī)定,可以在4.1節(jié)4)的基礎(chǔ)上進(jìn)一步明確主體角色的定義,并考慮漏洞從提交到修復(fù)的詳細(xì)要求等.如針對《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,可以更加清晰地明確“網(wǎng)絡(luò)產(chǎn)品提供者”這一角色的定義,其不僅應(yīng)表示在一個(gè)安全漏洞的生命周期中“存在漏洞或被攻擊”的廠商主體,還應(yīng)表示任何該漏洞知情方中同樣對于國內(nèi)用戶扮演廠商角色的境內(nèi)外組織或企業(yè).

另外,我國應(yīng)在此基礎(chǔ)上提高面臨形勢復(fù)雜多樣網(wǎng)絡(luò)安全漏洞的能力,增強(qiáng)安全意識的緊迫感;在宣傳上,持續(xù)辦好網(wǎng)絡(luò)安全宣傳周,增加網(wǎng)絡(luò)攻防演習(xí)比賽的規(guī)模和次數(shù);培養(yǎng)更多的專業(yè)型人才;對于漏洞庫,也應(yīng)該更加專業(yè)地對其進(jìn)行分類、分級評估.

7 結(jié) 語

隨著軟件規(guī)模的不斷擴(kuò)大,漏洞安全研究面臨著較大挑戰(zhàn),安全漏洞披露與共享政策也在一定程度上減少了漏洞傳播的范圍.本文簡單地對中國與美國的國家安全漏洞披露與共享政策進(jìn)行了總結(jié),以便于安全從業(yè)者了解相關(guān)規(guī)定,遵循正確的流程進(jìn)行安全漏洞披露與共享以及進(jìn)行漏洞的高效修復(fù),構(gòu)造安全、清朗的網(wǎng)絡(luò)環(huán)境.