微軟日前發(fā)布，將對此前“負義務的漏洞披露（Responsible Disclosure）”方法進行調劑，采用新的漏洞披露方法，從而能夠對零日漏洞供給更加和諧一致的響應。

這一新的漏洞披露方法被稱為“和諧的漏洞披露（Coordinated Vulnerability Disclosure，CVD）”，與微軟負義務的漏洞披露政策相比變更不大。CVD政策將敦促安全研究人員向軟件供給商或美國盤算機應急籌備小組報告發(fā)明的安全漏洞。根據(jù)CVD政策的規(guī)定，軟件供給商和安全研究人員將會就漏洞修復期限達成一致。微軟負責可信盤算安全業(yè)務的總經(jīng)理Matt Thomlinson在微軟安全響應中心的博客中表現(xiàn)，公司將努力使漏洞披露過程盡可能的透明。

Thomlinson指出，“義務當然依舊重要，但這應當是由安全研究人員、安全產(chǎn)品供給商和其他軟件供給商組成的全部社區(qū)的共同義務。在進步盤算生態(tài)系統(tǒng)的總體安全性方面，安全社區(qū)的每個成員都應施展自己的作用�！�

不久前，谷歌的安全研究人員Tavis Ormandy公開披露了Windows XP中存在的零日漏洞，并發(fā)布了針對該漏洞的概念驗證代碼。隨后，微軟發(fā)布了這一新的漏洞披露方法。幾天前，微軟發(fā)表聲明警告說，其已經(jīng)檢測到試圖針對該漏洞的惡意攻擊。

Thomlinson表現(xiàn)，微軟和其他軟件制作商有義務與報告該漏洞的安全研究人員進行溝通。軟件制作商承諾將供給及時更新并斷定預定解決日期。另外，Thomlinson還指出，遵照這一新的漏洞披露政策的安全研究人員可以提前發(fā)布包含有限細節(jié)的安全公告，但不應當供給概念驗證代碼。

Thomlinson在博客中寫到，“軟件供給商和漏洞發(fā)明者需要密切協(xié)作以修復漏洞；應當進行廣泛的努力，以及時對安全漏洞做出響應；一旦主動攻擊被公開披露，最好的對策應當是集中力量減少攻擊帶來的迫害和提出暫時性解決計劃——即使那樣，軟件供給商和漏洞發(fā)明者仍然應當盡可能地和諧一致�！�

安全研究人員如是說

盡管微軟新的漏洞披露方法獲得了一些專家的支撐，但也有研究人員聲稱，新政策不會對漏洞報告方法產(chǎn)生太大影響。

漏洞管理公司Rapid7的首席安全官、安全漏洞檢測工具Metasploit的滲透測試框架總設計師、安全研究社區(qū)的長期擁戴者H.D. Moore認為，微軟的聲明不過是“試圖把持關于負義務的漏洞披露的爭辯”。Moore指出，微軟新的漏洞披露政策仍然沒有什么效率。漏洞發(fā)明者最終有權決定是公開披露一個漏洞，還是悄悄將其報告給軟件供給商。

Moore表現(xiàn)，“微軟值得稱道的處所在于其承認漏洞的存在，但在及時修復漏洞方面做的還不夠好。微軟似乎并未承認供給商不遵照這些規(guī)定。而供給商從來都沒有遵照過這些規(guī)定。”

Moore強調，軟件供給商保持對漏洞披露的把持的唯一合法道路是，與安全研究人員簽訂合同，通過某種情勢的嘉獎打算向漏洞發(fā)明者支付獎金。

在一篇詳細介紹這一新的漏洞披露方法的博文中，微軟安全響應中心生態(tài)系統(tǒng)策略團隊的資深安全策略專家Katie Moussouris列出了一些支撐這一理念變更的安全專家的評論。Moussouris指出，這一漏洞披露方法的轉變是“對‘負義務的漏洞披露’的修正，為微軟和安全研究人員密切協(xié)作供給了一種預期和過程。即使在漏洞披露理念未能完整同步變更的情況下，各方在討論漏洞披露時也不必因應用一個容易讓人曲解的術語而產(chǎn)生歧義。”

非營利性信息安全公共組織Open Security Foundation的總裁、安全監(jiān)控產(chǎn)品供給商Tenable Network Security的Nessus安全漏洞掃描器專家Brian Martin表現(xiàn)，微軟新的漏洞披露方法試圖在必定程度上解決與“負義務的漏洞披露”有關的極端問題，并使其內部政策更加透明。

Martin說，“關于負義務的漏洞披露的爭辯由來已久，并可能持續(xù)持續(xù)下去。我認為，這一漏洞披露方法的轉變并不意味著微軟盼望把持所有的漏洞披露道路，而是表明微軟將如何處理漏洞披露和修復問題。”