CERT/CC 發布 VINCE 軟件漏洞協作平臺

上周，SEI的CERT協調中心(CERT/CC)推出了一個新的基于網絡的軟件漏洞報告和協調平臺，稱為漏洞信息和協調環境(VINCE)。CERT/CC團隊正在取代其20多年的遺留系統，以幫助擴展通信并提高漏洞報告員、協調員和軟件供應商之間的直接協作水平。

這種變化不僅僅是一種無形的后端轉變。到目前為止，漏洞協調一直依賴于一個中心輻射模型:CERT/CC位于中心，接收和傳遞來自那些研究和報告軟件漏洞的人的PGP加密的電子郵件，并返回給受影響的供應商。VINCE背后的新模型更像是一個共享的通信總線，所有的利益相關者都接入一個基于網絡的中央平臺，彼此直接對話。

SEI的CERT小組的漏洞分析技術經理Art Manion說，他不希望CERT/CC成為漏洞協調的瓶頸。Manion說:“我們正在擺脫中間人的角色。“通過使用VINCE內置的總線模型，我們試圖樹立一個協議、禮儀和規范已經改變的榜樣。我們希望所有的供應商、研究人員和記者都在同一個房間。每個人都有一個渠道，可以一起工作。”

對于每個新的漏洞，CERT/CC都會創建一個VINCE案例討論，這是一個私人留言板論壇，具有標記其他參與者、上傳文件和發送CERT/CC私人消息的功能。CERT/CC隨后邀請與該漏洞相關的記者、研究人員和供應商加入案例討論。為了參與，利益相關者必須有一個VINCE帳戶，他們可以要求CERT/CC將他們添加到案例討論中。CERT/CC將繼續協調和調節每個案例，但是利益相關者可以在漏洞公開披露之前和之后直接相互合作。

在事故響應和安全團隊論壇(FIRST)發布其多方漏洞協調和披露指南和實踐幾周后，新平臺首次亮相。第一準則旨在向軟件漏洞涉及的各方開放安全研究人員和軟件供應商之間的雙邊通信。VINCE平臺恰好創建了支持圍繞漏洞的多方通信所需的公共空間。

一年前，CERT部門的應用程序開發人員和VINCE的主要開發人員Emily Sarneso被要求更新CERT/CC的漏洞報告系統時，并沒有這個意圖。“我們一點一點地替換每一個，然后我們意識到我們做這件事的方式需要被替換，整個中心輻射式的想法，”她說。“我們問，‘為什么我們不把每個人聚集在一起，這樣我們就不僅僅是把所有這些信息傳遞給有時超過200個不同組織的中間人了？’”

Sarneso說，當她和Manion在今年的RSA會議上向供應商提出這個想法時，他們感到惶恐不安。“因為我們已經用一種方法做了這么久，”Sarneso說，“我們真的在改變人們對一個新的漏洞披露過程的想法。”他們解釋了作為記者、研究人員和2300多名軟件開發人員和供應商的中間人是如何無法擴展的。管理電子郵件加密的PGP密鑰、更新供應商聯系信息、協調大量電子郵件以及解決供應商披露政策沖突是一場耗時的噩夢。

有了VINCE，電子郵件讓位于更安全的網絡平臺，CERT/CC的工作人員希望花更多的時間直接協調復雜的案例，分析漏洞，并研究標準，如CVE和CVSS。利益相關者可以更新他們自己的聯系信息，協作環境將信息整合到一個共享的空間，并培養信任和善意。

本著更加開放的交流精神，CERT/CC計劃使VINCE成為一個帶有應用編程接口的開放源代碼下載，這樣組織就可以將其信息引入他們自己的漏洞跟蹤系統。“我們覺得VINCE最大的貢獻可能是為不同的組織創建了這種共享語言來討論漏洞和漏洞披露，”Sarneso說。

VINCE現已在www.kb.cert.org/vince. 上線。盡管CERT/CC電子郵件仍將保持活躍，Manion和Sarneso鼓勵軟件供應商和網絡安全研究人員創建一個VINCE帳戶，而不僅僅是針對漏洞進行協調，而是真正的合作。

Manion將VINCE視為SEI使命的一部分，作為一個聯邦資助的研發中心，將能力轉移到自身之外。“發現、修復、修補和防御漏洞——我們正努力幫助其他人更快、更好、更容易地做到這一點。”Manion說，“總體任務是一樣的:降低風險。這只是一種更好、更現代的方式。”