长期以来,由于缺乏透明规范的全球性 VDP(漏洞披露策略)白帽子安全研究专家和渗透测试人员的职业风险居高不下,导致政府和企业网络安全防御与黑客攻击力的对抗严重失衡,安全风险不断累积。数天前获得美国网络安全与基础设施安全局 (CISA) 发布的联邦政府漏洞披露策略草案背书后,IESG 的全球性网络漏洞披露标准 Security.txt 草案也进入了最后一轮意见征询阶段。
近日,互联网工程指导小组 (IESG) 发布了网络漏洞披露标准 Security.txt 的最终征求意见稿,该网络安全策略旨在使研究人员尽可能简化漏洞披露过程。广受安全业界关注的 IESG 漏洞披露标准很快将成为所有网站的推荐漏洞披露报告标准。进入最终意见征求阶段后,对该标准感兴趣的各方还有不到一个月的时间提交评论。
标准提案 “Web安全策略方法” 旨在改善独立安全研究人员当前用来披露 Web 服务漏洞的通信渠道。
该标准的实施也非常简单:组织和站点管理员只需要将标准化文件 Security.txt 放入站点指定目录路径中。安全研究人员可以轻松地通过这个文件与公司联系。
该标准提案的 GitHub 页面显示:Security.txt 文件为安全研究人员提供了如何报告安全问题的清晰指南,并允许定义漏洞赏金计划的范围。
众所周知,对于安全研究人员而言,漏洞披露过程大概率会是一场噩梦,由于缺乏清晰(安全)的规程规范,研究者常常无法及时稳妥地将安全漏洞告知组织。安全研究员斯科特·赫尔姆 (Scott Helme) 在去年发表的一篇博客中评论说:发现漏洞后企业需要迅速做出反应来解决,但无法及时找到接口联系人拖慢了整个流程。结果是大量漏洞没有得到及时报告,而安全团队成了在隔三岔五的零日漏洞和数据泄露事故中疲于奔命的消防队。
该提案指出,Security.txt 旨在成为组织漏洞披露政策 (VDP) 的 “一站式服务”,提供不仅限于电子邮件的联系信息。
文件名为Security.txt,文件路径统一为:/.well-known/security.txt。为了兼容遗留系统,Security.txt文件也可以放在顶级目录中。
Ed.Foudil 于 2017 年首次提出了 Security.txt 标准的草案,并已由维护 VDP 的组织在网站上实施。国土安全部的网络安全和基础设施安全局 (CISA) 也在最近发布的指令中要求联邦机构发布 VDP 时强制性部署 Security.txt。CISA重申,Security.txt 文件应在代理机构主要 .gov 域的 /.well-known/ 路径中发布。
该文件还将帮助美国网络安全机构了解谁遵守了目前正在征求意见的指令。
IESG 的征集呼吁于 2020 年 1 月 6 日结束。
感兴趣的读者可以在 Security.txt 项目网站上找到更多信息。
虽然大多数安全人士对网络漏洞披露标准表示支持,但是也有不少白帽子专家认为该标准存在严重问题。安全牛查阅了 IETF 标准提案的公开评审意见列表,发现不少言辞激烈的批评和吐槽。例如一位安全人士指出,Security.txt 的安装目录位于 Web服务器中,但是对于一个已经被黑客入侵的服务器,安全专家很难相信该服务器中的任何一个文件没有被篡改。该专家认为 VDP 相关文件应该存放于相对 Web 服务器独立的其他域中,例如 DNS,甚至 twitter 和 LinkedIn 这样的社交平台账号也可以考虑。
(完)