谷歌：提高漏洞管理實踐透明度

4月13日，谷歌發布白皮書，倡議供應商提高其漏洞管理實踐透明度。

作為長期支持漏洞披露與修復合作的互聯網巨頭，谷歌認為無窮無盡的漏洞修復“厄運循環”正在掏干防御人員和用戶的精力。此外，為應對各種攻擊新趨勢而創建的工具似乎也對改善這種情況毫無幫助。 

想要打破這種循環，谷歌表示，需要專注保護軟件開發安全，采用漏洞修復最佳實踐，以及確保修復簡單易行。為此，供應商應了解漏洞的根源并實施完整的修復。

“重視根源分析，行業、政府和最終用戶就能跳出不斷重復的漏洞響應循環。”

谷歌表示，不僅僅是零日漏洞，只要沒修復，漏洞就會帶來巨大風險，削弱企業和最終用戶的安全態勢。所有供應商都應該關注修復頻率、自動修復和補丁的分發方式（（作為獨立補丁還是系統更新的一部分）。

“零日漏洞的惡名常見諸報端，但真相是，即便披露且修復之后，風險依然存在。此類風險涵蓋了OEM采用滯后、補丁測試痛點、最終用戶更新問題等各個方面。

考慮到2022年發現的很多遭利用零日漏洞都是此前已修復但修復不完整的安全缺陷的變體，谷歌還呼吁供應商更加重視確保全面解決風險。

此外，谷歌的白皮書強調，行業應努力降低客戶進行補丁測試和實現的難度，否則企業可能會延后采用那些難以應用的補丁。行業還應該采取更全面的策略來解決產品生命周期問題。

谷歌指出：“產品應附上有關預期壽命（包括到期日）的策略，以及針對下游客戶的支持與通知模式。”

在13日發布的白皮書中，這家互聯網巨頭提到了“黑客政策委員會”（Hacking Policy Council）的成立，這是一個由決心改善用戶安全的組織及領導者組成的小組，是倡導漏洞管理與披露最佳實踐的第一步。

谷歌還呼吁供應商和政府在漏洞利用與修復方面更加透明，從而支持全生態系統緩解措施的開發，尤其是在有些供應商悄悄發布安全補丁而不將已發現缺陷通告社區的情況下。

谷歌倡議：“供應商應讓用戶、供應鏈合作伙伴和社區知曉漏洞利用情況，并通過公開披露和直接聯系盡可能地及時通知受害者。應共享關于漏洞和漏洞利用的更多細節，從而提升研究人員的知識和防御。”

谷歌表示，提高透明度可確保用戶更快應用緩解措施，并“幫助行業和政策制定者了解挑戰的范圍，摸清行業是否在這一領域真正有所改善。”然而，新政策不應迫使企業過度報告事件，而應根據其對安全的影響進行評估。

谷歌認為，設立法律框架來更好地支持漏洞獵手是推進這一生態系統的另一關鍵點，可以通過這些法律框架來區分出于防御目的的研究和惡意活動，但不強迫研究人員在通知供應商之前向政府通報已發現缺陷。

“我們認為，無論背景如何，任何人都應該能為漏洞研究做出貢獻。歸根結底，漏洞報告就是信息，企業不應限制自身從社區接收有用信息的能力。”谷歌表示。

4月13日，這家互聯網巨頭宣布，將為“安全研究法律辯護基金”提供種子資金，該基金旨在保護面臨法律威脅但無法獲得法律顧問的誠信安全研究人員。

谷歌表示：“要在這些問題上取得進展，需要行業、研究人員、用戶和政府等利益相關者之間精誠合作：行業開發的平臺和服務是攻擊者試圖利用的目標；研究人員不僅能發現漏洞，而且可以識別和推動緩解措施，封堵整條攻擊途徑；用戶仍然承擔著過重的安全負擔；而政府可以設立激勵機制，塑造所有其他相關人員的行為。”