信息来源:安全牛
长期以来,由于缺乏透明规范的全球性 VDP(漏洞披露策略)白帽子安全研究专家和渗透测试人员的职业风险居高不下,导致政府和企业网络安全防御与黑客攻击力的对抗严重失衡,安全风险不断累积。数天前获得美国网络安全与基础设施安全局 (CISA) 发布的联邦政府漏洞披露策略草案背书后,IESG 的全球性网络漏洞披露标准 Security.txt 草案也进入了最后一轮意见征询阶段。
柳暗花明
近日,互联网工程指导小组 (IESG) 发布了网络漏洞披露标准 Security.txt 的最终征求意见稿,该网络安全策略旨在使研究人员尽可能简化漏洞披露过程。
广受安全业界关注的 IESG 漏洞披露标准很快将成为所有网站的推荐漏洞披露报告标准。
进入最终意见征求阶段后,对该标准感兴趣的各方还有不到一个月的时间提交评论。
标准提案 “Web安全策略方法” 旨在改善独立安全研究人员当前用来披露 Web 服务漏洞的通信渠道。
该标准的实施也非常简单:组织和站点管理员只需要将标准化文件 Security.txt 放入站点指定目录路径中。安全研究人员可以轻松地通过这个文件与公司联系。
该标准提案的 GitHub 页面显示:Security.txt 文件为安全研究人员提供了如何报告安全问题的清晰指南,并允许定义漏洞赏金计划的范围。
第一时间找到联络人
众所周知,对于安全研究人员而言,漏洞披露过程大概率会是一场噩梦,由于缺乏清晰(安全)的规程规范,研究者常常无法及时稳妥地将安全漏洞告知组织。
安全研究员斯科特·赫尔姆 (Scott Helme) 在去年发表的一篇博客中评论说:发现漏洞后企业需要迅速做出反应来解决,但无法及时找到接口联系人拖慢了整个流程。
结果是大量漏洞没有得到及时报告,而安全团队成了在隔三岔五的零日漏洞和数据泄露事故中疲于奔命的消防队。
该提案指出,Security.txt 旨在成为组织漏洞披露政策 (VDP) 的 “一站式服务”,提供不仅限于电子邮件的联系信息。
文件名为Security.txt,文件路径统一为:/.well-known/security.txt。为了兼容遗留系统,Security.txt文件也可以放在顶级目录中。
简单得就像纯文本
Ed.Foudil 于 2017 年首次提出了 Security.txt 标准的草案,并已由维护 VDP 的组织在网站上实施。
国土安全部的网络安全和基础设施安全局 (CISA) 也在最近发布的指令中要求联邦机构发布 VDP 时强制性部署 Security.txt。
CISA重申,Security.txt 文件应在代理机构主要 .gov 域的 /.well-known/ 路径中发布。
该文件还将帮助美国网络安全机构了解谁遵守了目前正在征求意见的指令。
IESG 的征集呼吁于 2020 年 1 月 6 日结束。