漏洞管理规定鼓励个人参与漏洞发现 白帽军团或将成为网安重要力量 – 作者:360安全

7月12日，工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》（以下简称《规定》）。据工业和信息化部网络安全管理局介绍，《规定》的出台将提高相关主体漏洞管理水平，引导建设规范有序、充满活力的漏洞收集和发布渠道，防范网络安全重大风险，保障国家网络安全。

三六零（股票代码：601360.SH，以下简称360）创始人、董事长周鸿祎对此表示，在数字化时代，一切皆可编程，这就意味着漏洞无处不在。“新技术同样有漏洞，有漏洞就能被黑客利用遭致攻击，使得整个社会和国家在网络攻击面前变得十分脆弱，对网络安全构成严重威胁。”在他看来，《网络产品安全漏洞管理规定》的出台，有利于推进安全漏洞管理的制度化、规范化发展。

网络安全服务或将出现巨大缺口

据工业和信息化部网络安全管理局相关人士介绍，《规定》旨在维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行；规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者，以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。

从具体内容上来看，《规定》明确提出，网络产品提供者和网络运营者是自身产品和系统漏洞的责任主体，要建立畅通的漏洞信息接收渠道，及时对漏洞进行验证并完成漏洞修补。

对网络安全行业而言，这无疑是重大利好。360漏洞云开源漏洞响应平台负责人胡晓娜认为，这些条例的出台，在网络安全和漏洞风险隐患管控上有了更高要求，提供了更切实可行的优化方法，并倒逼相关企业和厂商要更加重视网络安全能力建设。之前很多企业和厂商处于被动应对安全的状态，安全管理大概率走在产品研发之后，应对漏洞及风险隐患态度消极，一定程度上造成隐患发现不及时、面对漏洞不处理、带病运行的现象，给产品使用者带来巨大的安全隐患。“现在政策倒逼大家必须将安全管理前置，重视网络安全责任义务, 在开发网络产品时就需要植入安全意识、安全理念、安全相关架构及技术等，将网络安全理念根植于网络产品的每一处基因，也让‘安全性’作为网络产品的主战场。”

在她看来，如果产品有漏洞不修复，就算没造成危害，也要承担相应责任，成为产品提供者悬在头顶的达摩克利斯之剑。因此《规定》出台，从顶层设计的角度为产品使用者和社会安全稳定提供更大保障，也让相关企业和厂商必须具备高度的社会责任感。

不少业内人士表示，当前很多网络产品提供者和网络运营者并不完全具备网络安全能力，这对网络人才和网络安全服务而言，无疑是一个巨大的缺口，为网络安全行业的未来发展提供了巨大的想象空间。

完善制度掐断网络攻击时间差

此外，在360安全专家看来，《规定》出台还将有利于安全漏洞管理的规范化。

工业和信息化部网络安全管理局表示，近年来不少专业机构、企业和社会组织等建立了从事漏洞发现和收集的漏洞响应平台，但在实际工作中部分漏洞响应平台也暴露出过内部运营不规范、擅自违规发布漏洞等问题，亟需加强管理。

具体而言，对于从事漏洞发现、收集、发布等活动的组织和个人，《规定》明确了其经评估协商后可提前披露产品漏洞、不得发布网络运营者漏洞细节、同步发布修补防范措施、不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。

360集团副总裁、首席安全官杜跃进表示，如果不对网络产品安全漏洞进行规范管理，任何人、组织或者机构都能随心所欲地发布网络安全漏洞，并且恶意夸大操作，把网络安全行业当成自身扬名立万的名利场。而《规定》的出台，将安全漏洞的修补工作放在发布之前，即安全漏洞没有修补就不能发布，尽可能减少给可攻击组织提供网络攻击的时间差，让大家带着更负责的态度去发现、发布安全漏洞。

制度激励白帽子参与漏洞发现

《规定》中还有两处内容也格外引人注意：一是鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞；二是鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

在此之前，第三方漏洞披露平台的存在，以及相关组织和个人自发参与安全漏洞挖掘，尚属于法律及政策管辖的灰色边缘地带。胡晓娜表示，《规定》的出台表明国家层面开始采用非常开放的态度，鼓励相关组织和个人参与安全漏洞挖掘，并肯定相关从业者及企业在安全漏洞挖掘、修补、通报方面做出的重要贡献。

此外，之前绝对大多数安全漏洞挖掘、修补、通报工作，均属于具备高度社会责任感的网络安全企业自发或公益行为。这是因为漏洞响应平台对漏洞收集、对“白帽子”的激励及平台运营均需要投入巨额成本，一般的组织及个人难以承受。因此，《规定》对网络安全企业及个人贡献的认可，能够更好地激发和引导企业, 在提升重视网络安全的同时，也提升了企业自身的网络安全硬实力，以“科技报国、技术向善”、”不拘一格降人才”的视角，提升企业及个人对于网络安全事业的参与感、荣誉感和使命感，发动广大安全研究员的技术力量，进行漏洞众包众测。这也是网络安全企业用实际行动贯彻国家总体安全观、坚持系统思维构建大安全格局的具体体现。

例如，360成立16年来，已投入200多亿打造安全能力框架，拥有东半球最强“白帽子军团”，漏洞挖掘及研究人员高达300余人，具备世界级的漏洞挖掘能力。公司至今累计获得来自微软、谷歌、苹果等全球顶级公司约2000次官方漏洞致谢，包揽微软、谷歌、苹果史上最高漏洞奖励，漏洞致谢奖励位列全球第一。

数字化时代，一切皆可编程，这意味着“漏洞无处不在”。通用及开源软件漏洞若被攻击者利用，后果极其严重。360看到这一领域的空白，成立了国内首个开源漏洞响应平台—360BugCloud。截至目前，平台已累计收录的开源通用软件漏洞高危率高达98%，累计发放漏洞赏金2600多万，漏洞的提交成功守护了上千万终端，涉及政府、企、事业等上百余家单位，覆盖能源、金融、交通、医疗、电信、教育众多关键行业领域，挽救全球数亿的价值损失。

360相关负责人表示，未来360将发挥自身在网络安全领域的核心能力，结合广大安全研究员力量，全力支持工业和信息化部网络安全威胁和漏洞信息共享平台建设，为网络强国及数字中国建设提供力量。

来源：freebuf.com 2021-07-15 10:53:12 by: 360安全

相关推荐: 挖掘CNVD通用漏洞，轻松拿证书心得 – 作者:tt12345

前言在各大公众号、论坛有大量文章是从某次渗透测试项目中发现了某个漏洞点，然后再从网络搜索引擎中去找类似漏洞，从而获取CNVD通用漏洞，得到证书的。此类是从渗透测试转到了漏洞挖掘，不是每个人都有那么幸运，也不是每个人都有精力去对每一个站进行渗透测试，而本篇文章我…