2019年6月25日下午1点30分,在远望智库召开了第9期纵横沙龙:《漏洞生态:管控?培育?》,来自监管、企业、媒体、资本的朋友针对6月18日工业和信息化部发布的《网络安全漏洞管理规定(征求意见稿)》展开讨论交流,现将形成的主要观点整理如下供大家参考(以下内容仅代表专家观点):

1. 《网络安全漏洞管理规定(征求意见稿)》(下简称“规定”)站位较矮(工信部网络安全管理局)、管理内容较窄(抑制黑产、促进外企产品供应商修复漏洞会发挥积极作用,而缺少考虑漏洞研究者、民间漏洞平台等生态要素);

2. 规定对漏洞研究、挖掘者的保护不够,甚至会给这个群体带来新的、额外的风险,增加防守方的信息共享的障碍,给防守方带来更加不利的环境。

3. 规定在执行层面具有一定难度(要求漏洞要披露给厂商,大厂没有问题,可如果小厂,是否具备漏洞的评估验证能力?);

4. 缺乏“漏洞产业视角”,过度强调管控,而忽视了“培育漏洞产业”(白产业务黑产化)所带来的国家网空能力和产业规模的巨大提升;

5. 规定会弱化漏洞研究的效益(tk:名、利、自我实现的感觉),抑制安全研究者积极性,导致顶尖研究人员转行或者出国,间接破坏整个行业队伍生态;

6. 鉴于漏洞在网络空间安全建设的重要意义,建议应从各个监管方、产业行业、漏洞研究者、民间漏洞平台、第三方智库等方面开展研讨,谨慎发布规定。

声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。