网络产品安全漏洞到底如何负责任的披露,不妨学习一下卡耐基梅隆大学电气与计算机工程系教授,也是ForAllSecure公司的首席执行官David Brumley关于漏洞披露博弈论的观点。
在漏洞披露的情况下,“零知识验证”可以让漏洞研究者(验证者)说服软件制造商(检验者)他们拥有一个信息,例如一个错误或一个漏洞,而不会透露太多的信息。
美国网络安全联盟发布了一份白皮书,建议组织和政府建立协同漏洞披露(CVD)框架,以建立清晰的关于漏洞挖掘的行为和程序。
微信公众号
