ChinaByte7月31日消息 互联网安全组织(OIS)在拉斯维加斯举行的“Black Hat Briefings”安全大会上举行了一次专题讨论会，就有关制定安全研究人员向软件厂商报告安全漏洞的标准方法回答了一些问题。目前，安全研究人员处理漏洞信息采用了各种不同的方法。有些人立即就在互联网上公布这个信息，有些人则与软件厂商合作解决这个漏洞问题。 　　OIS希望研究人员至少给软件公司30天的时间制作安全漏洞的补丁，然后再公开这个漏洞。微软安全计划经理、OIS成员Scott Culp强调说，给予更长的时间并不意味着软件公司不重视安全。这些公布安全漏洞的指南并没有使我们放松，而是增加了对我们的压力。 　　OIS在7月29日发布的指南要求安全研究人员给予软件公司30天的时间制作补丁，然后再公布安全漏洞的细节。 　　这样宽松的时间是安全团体一个有争议的让步。在过去10年里，安全研究人员一直在与保持沉默的软件厂商打交道。软件厂商承认和解决安全漏洞问题的拖延导致了所谓的公开披露运动，许多安全研究人员都加入了这个运动。在公开披露的原则下，只要一发现安全漏洞就立即公开披露。 　　OIS成员、原来漏洞披露指南的编写者Wysopal表示，在过去的7年里，环境已经发生了变化。我们意识到过早地公开披露安全漏洞代码是有害无益的。他说，如果将来软件公司仍拖延修复漏洞，改变当前的环境，我们就需要对现在的文件进行修改。 　　有些成员担心，禁止立即公开安全漏洞的信息会使某些安全公司受益。例如，互联网安全系统公司等安全公司可以向客户出售有关安全漏洞的早期信息。能够早期接触到这种信息的计算机应急反应小组协调中心也可以这样做。 　　OIS对这类问题没有制定出政策，因为意见不统一。但是，Wysopal表示，这个安全漏洞披露指南还是瑕不掩瑜的，好处还是很多。

关键字：