信息來(lái)源:安全牛
長(zhǎng)期以來(lái),由于缺乏透明規(guī)范的全球性 VDP(漏洞披露策略)白帽子安全研究專家和滲透測(cè)試人員的職業(yè)風(fēng)險(xiǎn)居高不下,導(dǎo)致政府和企業(yè)網(wǎng)絡(luò)安全防御與黑客攻擊力的對(duì)抗嚴(yán)重失衡,安全風(fēng)險(xiǎn)不斷累積。數(shù)天前獲得美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布的聯(lián)邦政府漏洞披露策略草案背書(shū)后,IESG 的全球性網(wǎng)絡(luò)漏洞披露標(biāo)準(zhǔn) Security.txt 草案也進(jìn)入了最后一輪意見(jiàn)征詢階段。
柳暗花明
近日,互聯(lián)網(wǎng)工程指導(dǎo)小組 (IESG) 發(fā)布了網(wǎng)絡(luò)漏洞披露標(biāo)準(zhǔn) Security.txt 的最終征求意見(jiàn)稿,該網(wǎng)絡(luò)安全策略旨在使研究人員盡可能簡(jiǎn)化漏洞披露過(guò)程。
廣受安全業(yè)界關(guān)注的 IESG 漏洞披露標(biāo)準(zhǔn)很快將成為所有網(wǎng)站的推薦漏洞披露報(bào)告標(biāo)準(zhǔn)。
進(jìn)入最終意見(jiàn)征求階段后,對(duì)該標(biāo)準(zhǔn)感興趣的各方還有不到一個(gè)月的時(shí)間提交評(píng)論。
標(biāo)準(zhǔn)提案 “Web安全策略方法” 旨在改善獨(dú)立安全研究人員當(dāng)前用來(lái)披露 Web 服務(wù)漏洞的通信渠道。
該標(biāo)準(zhǔn)的實(shí)施也非常簡(jiǎn)單:組織和站點(diǎn)管理員只需要將標(biāo)準(zhǔn)化文件 Security.txt 放入站點(diǎn)指定目錄路徑中。安全研究人員可以輕松地通過(guò)這個(gè)文件與公司聯(lián)系。
該標(biāo)準(zhǔn)提案的 GitHub 頁(yè)面顯示:Security.txt 文件為安全研究人員提供了如何報(bào)告安全問(wèn)題的清晰指南,并允許定義漏洞賞金計(jì)劃的范圍。
第一時(shí)間找到聯(lián)絡(luò)人
眾所周知,對(duì)于安全研究人員而言,漏洞披露過(guò)程大概率會(huì)是一場(chǎng)噩夢(mèng),由于缺乏清晰(安全)的規(guī)程規(guī)范,研究者常常無(wú)法及時(shí)穩(wěn)妥地將安全漏洞告知組織。
安全研究員斯科特·赫爾姆 (Scott Helme) 在去年發(fā)表的一篇博客中評(píng)論說(shuō):發(fā)現(xiàn)漏洞后企業(yè)需要迅速做出反應(yīng)來(lái)解決,但無(wú)法及時(shí)找到接口聯(lián)系人拖慢了整個(gè)流程。
結(jié)果是大量漏洞沒(méi)有得到及時(shí)報(bào)告,而安全團(tuán)隊(duì)成了在隔三岔五的零日漏洞和數(shù)據(jù)泄露事故中疲于奔命的消防隊(duì)。
該提案指出,Security.txt 旨在成為組織漏洞披露政策 (VDP) 的 “一站式服務(wù)”,提供不僅限于電子郵件的聯(lián)系信息。
文件名為Security.txt,文件路徑統(tǒng)一為:/.well-known/security.txt。為了兼容遺留系統(tǒng),Security.txt文件也可以放在頂級(jí)目錄中。
簡(jiǎn)單得就像純文本
Ed.Foudil 于 2017 年首次提出了 Security.txt 標(biāo)準(zhǔn)的草案,并已由維護(hù) VDP 的組織在網(wǎng)站上實(shí)施。
國(guó)土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 也在最近發(fā)布的指令中要求聯(lián)邦機(jī)構(gòu)發(fā)布 VDP 時(shí)強(qiáng)制性部署 Security.txt。
CISA重申,Security.txt 文件應(yīng)在代理機(jī)構(gòu)主要 .gov 域的 /.well-known/ 路徑中發(fā)布。
該文件還將幫助美國(guó)網(wǎng)絡(luò)安全機(jī)構(gòu)了解誰(shuí)遵守了目前正在征求意見(jiàn)的指令。
IESG 的征集呼吁于 2020 年 1 月 6 日結(jié)束。