美國商務部旗下的國家電信暨資訊管理局(National Telecommunications and Information Administration,NTIA)本周公布《漏洞揭露的態度與行為》(Vulnerability Disclosure Attitudes and Actions)研究報告,指稱有6成的研究人員因擔心法律威脅而猶豫是否要回報漏洞。儘管近7成研究人員會先向業者漏洞,但有32%因為業者未在限期內回應而直接公布漏洞。
參與此一調查的對象囊括了414民安全研究人員與285家業者,企圖了解漏洞揭露與處理的各個面向,以找出漏洞揭露的最佳實作準則。
在針對安全研究人員的調查部份,在發現產品漏洞時,有67%的研究人員會直接向業者回報 ,並有14%會向第三方合作機構回報,另有11%提報給抓漏獎勵專案,只有4%會公開揭露漏洞,另有4%不採取任何行動。
即使絕大多數的研究人員會秉持責任揭露的精神,先向業者提報而不直接公布漏洞,然而雙方之間的溝通卻經常發生問題,有54%的研究人員在與業者溝通時曾感到挫折,並有50%因為這些挫折而想把漏洞公諸於世,雖然有95%的研究人員希望業者解決問題之後能夠知會他,可是真正被知會的只有58%,另有32%因為業者未在限期內回應而直接公布漏洞。
在調查研究人員拒絕或猶豫是否要回報漏洞的原因時,有6成的研究人員會擔心面臨法律風險而猶豫是否要揭露漏洞。
報告分析,假設研究人員發現責任揭露還是可能帶來法律問題並造成傷害,那他們可能會偏離原來的選擇,增加此事的法律確定性也許才是促進研究人員採用最佳準則的方法。
對於研究人員在回報漏洞之後的期待,有70%只希望雙方可定期交流,57%希望可參與測試、53%想被記名、15%希望有報酬,另有14%想保持匿名。
在針對技術供應商與營運商的調查則著重在最佳實作準則、漏洞處理程序、揭露程序及預防措施等,發現業者對於處理漏洞的態度與方法差異頗大,因此區分為較成熟的業者與較不成熟的業者。
研究也發現,多數的業者表示他們知道有漏洞處理準則,但調查卻顯示知易行難。較成熟的業者中,會審視ISO標準的佔了41%,會檢查合作夥伴程序的也有59%,完成內部審查的則達76%。但較不成熟的業者中執行上述作法的只分別佔了14%、16%與17%。
當問及較成熟業者建立漏洞揭露政策的原因時,有4/5說是因為客戶在意安全問題,另有2/3的較成熟業者表示部署漏洞處理程序是因這是企業社會責任的一部份,還有54%說漏洞揭露與處理程序減少了他們開發軟體產品及服務的成本與行銷經費。
NTIA指出,此一報告有許多部份令人訝異,例如他們發現抓漏獎勵對研究人員來說最大的好處也許不是獲得實質的報酬,而是建立了形式化的揭露與溝通程序。