信息來源:安全牛
長期以來,由于缺乏透明規(guī)范的全球性 VDP(漏洞披露策略)白帽子安全研究專家和滲透測試人員的職業(yè)風險居高不下,導致政府和企業(yè)網(wǎng)絡安全防御與黑客攻擊力的對抗嚴重失衡,安全風險不斷累積。數(shù)天前獲得美國網(wǎng)絡安全與基礎設施安全局 (CISA) 發(fā)布的聯(lián)邦政府漏洞披露策略草案背書后,IESG 的全球性網(wǎng)絡漏洞披露標準 Security.txt 草案也進入了最后一輪意見征詢階段。
柳暗花明
近日,互聯(lián)網(wǎng)工程指導小組 (IESG) 發(fā)布了網(wǎng)絡漏洞披露標準 Security.txt 的最終征求意見稿,該網(wǎng)絡安全策略旨在使研究人員盡可能簡化漏洞披露過程。
廣受安全業(yè)界關(guān)注的 IESG 漏洞披露標準很快將成為所有網(wǎng)站的推薦漏洞披露報告標準。
進入最終意見征求階段后,對該標準感興趣的各方還有不到一個月的時間提交評論。
標準提案 “Web安全策略方法” 旨在改善獨立安全研究人員當前用來披露 Web 服務漏洞的通信渠道。
該標準的實施也非常簡單:組織和站點管理員只需要將標準化文件 Security.txt 放入站點指定目錄路徑中。安全研究人員可以輕松地通過這個文件與公司聯(lián)系。
該標準提案的 GitHub 頁面顯示:Security.txt 文件為安全研究人員提供了如何報告安全問題的清晰指南,并允許定義漏洞賞金計劃的范圍。
第一時間找到聯(lián)絡人
眾所周知,對于安全研究人員而言,漏洞披露過程大概率會是一場噩夢,由于缺乏清晰(安全)的規(guī)程規(guī)范,研究者常常無法及時穩(wěn)妥地將安全漏洞告知組織。
安全研究員斯科特·赫爾姆 (Scott Helme) 在去年發(fā)表的一篇博客中評論說:發(fā)現(xiàn)漏洞后企業(yè)需要迅速做出反應來解決,但無法及時找到接口聯(lián)系人拖慢了整個流程。
結(jié)果是大量漏洞沒有得到及時報告,而安全團隊成了在隔三岔五的零日漏洞和數(shù)據(jù)泄露事故中疲于奔命的消防隊。
該提案指出,Security.txt 旨在成為組織漏洞披露政策 (VDP) 的 “一站式服務”,提供不僅限于電子郵件的聯(lián)系信息。
文件名為Security.txt,文件路徑統(tǒng)一為:/.well-known/security.txt。為了兼容遺留系統(tǒng),Security.txt文件也可以放在頂級目錄中。
簡單得就像純文本
Ed.Foudil 于 2017 年首次提出了 Security.txt 標準的草案,并已由維護 VDP 的組織在網(wǎng)站上實施。
國土安全部的網(wǎng)絡安全和基礎設施安全局 (CISA) 也在最近發(fā)布的指令中要求聯(lián)邦機構(gòu)發(fā)布 VDP 時強制性部署 Security.txt。
CISA重申,Security.txt 文件應在代理機構(gòu)主要 .gov 域的 /.well-known/ 路徑中發(fā)布。
該文件還將幫助美國網(wǎng)絡安全機構(gòu)了解誰遵守了目前正在征求意見的指令。
IESG 的征集呼吁于 2020 年 1 月 6 日結(jié)束。