专家警告美国注意漏洞报告强制规定 媒体
美国应对中国新政策的脆弱性报告要求
主要要点
中国新政策可能会影响零日漏洞的管理。专家呼吁不应让政府参与脆弱性协调与披露。需要全球更多组织提高网络安全能力。美国政府最近受到警告,切勿实施与中国近期采用的脆弱性报告要求相似的政策。根据SecurityWeek的报道,这种做法只会显著增加不当管理零日漏洞的风险。Luta Security首席执行官Katie Moussouris表示,脆弱性应由负责开发修复程序的组织在补丁发布之前进行初步了解。她指出:“在脆弱性协调和披露过程中增加政府实体的干预,并不会有效提升我们的安全性,反而会大幅增加在补丁准备之前泄露的风险。”
此外,Moussouris警告称,由政府集中管理所有脆弱性可能导致潜在的灾难性后果。她强调,“通过立法将政府人为引入到协调脆弱性披露中,将无法提高我们的网络弹性。我们真正需要的是全球更多的组织准备好资产清单、软件物料清单SBOM以及有效的脆弱性响应能力,能够共同防御我们共享的互联网。”
Moussouris的发言是在网络安全审查委员会指出,中国的新政策要求在修复补丁发布前两天向政府报告脆弱性,这可能导致在网络防御方能够修补这些脆弱性之前的“利用窗口”。
整理一下脆弱性管理的风险:
飞鸟加速器npv下载官网风险因素描述政府介入政府在脆弱性泄露中的角色模糊,增加安全风险。统一数据库的风险集中积累脆弱性信息可能导致安全漏洞的泄露。缺乏全球合作缺乏国际组织的有效响应能力,降低网络安全性。通过提高组织的准备程度,建立有效的管理机制,才能真正增强网络安全,而不是依赖不必要的政府干预。
