网络漏洞披露全球性标准进入最终意见征集阶段
白帽子柳暗花明
广受安全业界关注的 IESG 漏洞披露标准很快将成为所有网站的推荐漏洞披露报告标准。
进入最终意见征求阶段后,对该标准感兴趣的各方还有不到一个月的时间提交评论。
标准提案 “Web安全策略方法” 旨在改善独立安全研究人员当前用来披露 Web 服务漏洞的通信渠道。
该标准的实施也非常简单:组织和站点管理员只需要将标准化文件 Security.txt 放入站点指定目录路径中。安全研究人员可以轻松地通过这个文件与公司联系。
该标准提案的 GitHub 页面显示:Security.txt 文件为安全研究人员提供了如何报告安全问题的清晰指南,并允许定义漏洞赏金计划的范围。
第一时间找到联络人
安全研究员斯科特·赫尔姆 (Scott Helme) 在去年发表的一篇博客中评论说:发现漏洞后企业需要迅速做出反应来解决,但无法及时找到接口联系人拖慢了整个流程。
结果是大量漏洞没有得到及时报告,而安全团队成了在隔三岔五的零日漏洞和数据泄露事故中疲于奔命的消防队。
该提案指出,Security.txt 旨在成为组织漏洞披露政策 (VDP) 的 “一站式服务”,提供不仅限于电子邮件的联系信息。
文件名为Security.txt,文件路径统一为:/.well-known/security.txt。为了兼容遗留系统,Security.txt文件也可以放在顶级目录中。
简单得就像纯文本
国土安全部的网络安全和基础设施安全局 (CISA) 也在最近发布的指令中要求联邦机构发布 VDP 时强制性部署 Security.txt。
CISA重申,Security.txt 文件应在代理机构主要 .gov 域的 /.well-known/ 路径中发布。
该文件还将帮助美国网络安全机构了解谁遵守了目前正在征求意见的指令。
IESG 的征集呼吁于 2020 年 1 月 6 日结束。
感兴趣的读者可以在 Security.txt 项目网站上找到更多信息。
白帽子专家纷纷吐槽
安全牛查阅了 IETF 标准提案的公开评审意见列表,发现不少言辞激烈的批评和吐槽。例如一位安全人士指出,Security.txt 的安装目录位于 Web服务器中,但是对于一个已经被黑客入侵的服务器,安全专家很难相信该服务器中的任何一个文件没有被篡改。该专家认为 VDP 相关文件应该存放于相对 Web 服务器独立的其他域中,例如 DNS,甚至 twitter 和 LinkedIn 这样的社交平台账号也可以考虑。
美国司法部、联邦贸易委员会:所有机构都必须采用漏洞披露计划
广告位 |