漏洞披露有 “規矩”，保護他人更要保護自己 - 網安 - 專業的網絡安全產業、社區、知識平臺

最近網安圈有白帽子頻繁以個人名義披露各家廠商的安全漏洞，著實為各家廠商以及安全從業人員敲響了警鐘。反觀整個事件，我們換個角度，漏洞真的是以個人或者組織名義想報就能報的嗎？

先拋出我們的觀點，不管是個人還是組織，如果找到了哪家安全廠商的產品漏洞，不論是從維護整個網絡安全產業秩序的角度出發，還是從個人保護自己的角度出發，都建議大家按照《網絡安全漏洞管理規定》，依法披露漏洞。

從維護整個網絡安全產業秩序，共建和諧社會的角度來看。安全產品需要維護，不斷更新和迭代以適應不斷變化的網絡安全環境。技術的發展使得安全攻防隨之升級，這個過程難免會發現漏洞。一般而言，廠商在知道了自己有漏洞的前提下，一定會第一時間組織力量修復漏洞，維護用戶安全。試想下如果在沒有通知CNVD和廠商的角度下，私自暴露漏洞，黑客可能會第一時間利用漏洞進行對用戶的攻擊，給用戶和整個社會直接帶來損失。這個一定是我們不想看到的。

從保護個人的角度，在未通知廠商的前提下披露漏洞的行為，本身就已經違反了《網絡安全漏洞管理規定（征求意見稿）》，筆者了解到，其實多部委一直在共同協商，不斷完善相關法律條款，管理這類行為。由于漏洞披露導致了部分用戶被黑客攻擊，進而造成用戶的巨大損失，漏洞的違法披露者是難辭其咎的。所以建議廣大的白帽還是要學會保護自己，依法披露漏洞。

網絡安全漏洞披露已成為網絡安全風險控制的中心環節。不規范或非法的網絡安全漏洞披露危害網絡空間整體安全，凸顯出法律規定的灰色地帶。同時，國內外不同主體基于不同動機和利益驅動，開展了廣泛的網絡安全漏洞披露實踐，并已經引發各方對不利法律后果的反思。

Q1：最近關于漏洞披露問題討論很多，關于漏洞相關的披露機制是怎樣的？

A1：一般情況下，當發現一個漏洞之后，可以先上報國家信息安全漏洞共享平臺CNVD（China National Vulnerability Database，），CNVD通知廠商需要在90/10天內修復，廠商采取漏洞修補或防范措施后再予以公開，這樣能最大程度的保護用戶的安全，同時促進整個行業有序發展。如果發現漏洞而沒有上報CNVD，而是直接披露，這是有一定風險和隱患的。

Q2：漏洞披露有哪幾種類型，原則是什么？

A2：常見的披露類型主要有不披露、完全披露、負責任的披露和協同披露四種。

漏洞被發現后，就進入了漏洞披露階段。漏洞發現者有可能不披露漏洞，對安全漏洞的相關信息完全保密，既不報送給廠商，又不向公眾公開這就是不披露。與此相反，漏洞發現者也可能公開完全披露相關的漏洞信息，未事先對廠商進行告警，廠商沒有充分的時間修復漏洞，漏洞信息也直接暴露給了潛在的惡意攻擊者，這就是完全披露，也被稱作不負責任的披露。

漏洞發現者先報送漏洞，待廠商修復漏洞后，廠商再公告相關漏洞信息并發布補丁，這就是負責人的披露。當然，實踐過程中漏洞發現者和廠商也可能存在爭議。在負責任披露的基礎上，引入了協調者，協調者通常在各方利益相關者之間扮演信息傳達或信息經紀人的角色，這就是協同披露。

原則上，一般采用的是負責任的披露。協同披露強調漏洞信息的共享，各方的協同合作，更為有利于保護網絡安全。

Q3：漏洞披露違規存在什么樣的風險？

A3：首先是用戶安全風險。

違規披露漏洞，會導致漏洞傳播。許多知名的開放社區都是零門檻的，很多黑客也埋伏在其中，這就導致了漏洞被公開后的一段時間內容黑客活動激增。在廠商發布漏洞補丁和用戶更新之前，這樣的安全風險是難以把控的。一個著名的例子就是Mirai僵尸網絡，該僵尸網絡在2016年攻擊了美國的物聯網設備，使美國多個城市的互聯網癱瘓。實際上最初，它是用于對Telnet的嵌入式監聽設備進行暴力攻擊。后來，Mirai源代碼被發布到開源社區，產生了模仿版本，用于對通過SecureShell(SSH)的監聽硬件進行暴力攻擊。直到今年，Mirai變體仍然對嵌入式Linux系統構成持續不斷的威脅。

其次是法律風險。安全從業人員違規披露漏洞，不僅破壞了行業規則，也給自己帶來了法律風險。《中華人民共和國網絡安全法》規定，開展網絡安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息，應當遵守國家有關規定。根據《網絡安全漏洞管理規定（征求意見稿）》的規定，第三方組織或者個人不得在網絡產品、服務提供者和網絡運營者向社會或用戶發布漏洞修補或防范措施之前發布相關漏洞信息，不得發布和提供專門用于利用網絡產品、服務、系統漏洞從事危害網絡安全活動的方法、程序和工具。2017年，網易SRC指責白帽子違反漏洞測試原則，在未經網易及NSRC授權的情況下，擅自公開披露漏洞細節，讓廣大網易產品用戶置于潛在的風險中，強調違刑必究。

Q4：漏洞披露者如何避免法律風險？

A4：需要遵守相關法律法規，按照規范化流程進行。

一般是先上報CNVD，CNVD通知廠商在90/10天內修復，再對漏洞進行披露。漏洞的報送和披露，國內基本形成國家安全漏洞庫，第三方漏洞平臺和企業SRC或PSIRT并存的結構。像近期的一些漏洞事件，廠商對漏洞檢測也是持開放透明的態度，國內不少企業機構都對漏洞發現者予以獎勵。

網絡安全漏洞披露集結了政府部門、產品和服務提供者、第三方研究機構、網絡安全服務機構、用戶、黑客或“白帽子”等多方利益相關者及其協調關系，所有利益相關者均應肩負起應有的法律責任，共同推動網絡社會的有序運行。

互聯網空間始終不是法外之地，尤其是當我們進入萬物互聯時代，任何舉措都可能對用戶、企業、市場造成影響。所以這也要求每一個人，遵守規則，尊重法律法規，共同維護網絡空間的安全和諧。未來，我們也希望，隨著法律、法規的進一步健全，隨著網絡安全市場的成熟，代表網絡正義的“白帽子”們，也將發揮更大的力量。