关于漏洞处理机制的改进讨论

xsser | 2013-01-24 11:33

经常有很多的筒子过来问漏洞为什么没有通过审核,主要原因有如下几点:

1 漏洞描述很不详细,无法定位和帮助企业管理人员(大部分的企业是很难判断安全问题的严重性的,更何况去彻底排查和修复安全漏洞)

2 我们尽量尽我们最大的努力去联系和处理安全问题(在坚持乌云现有原则下),但是有些网站我们的确不确定是否能够联系上能够处理的人,即使联系上很多实际上不具备处理安全问题的能力,这可能导致问题最终没有彻底修复而导致问题

3 我们坚持认为安全问题的严重与否应该按照能够影响的敏感数据以及多大机率影响用户敏感数据(这点在众测里得到了厂商的认同),所以很多的漏洞我们也无法直接在乌云上显示,因为我们同样系统乌云除了一个报告平台同样是一个学习平台,这点希望大家能够理解和原谅。

我们甚至做出了高校版来处理这些问题,但做完之后的确证明第二个问题的存在,同样我们非常理解一个漏洞不能够被确认的痛苦,这并不表示我们对你的努力不认同,所以我想是否可以改进机制,我们将无法直接联系和无法确认能够联系到厂商的漏洞(对于严重的影响较大的安全问题依然保持现有等待认领机制不变)放到后台数据库,在能够联系上厂商之前并不公开,直到厂商确认和修复后才公开,我们同样会扩充乌云处理安全问题的渠道,以尽一切可能的将这些重要信息传达到需要关注的人