简介
关于“负责任的”软件漏洞披露的争论一直是安全领域的主流。2015年,谷歌在预定的补丁发布前两天披露了微软Windows的一个漏洞,以及利用代码,这一事件又火上浇油。(利用代码是指黑客可以利用的一段代码来入侵软件。)2018年,随着臭名昭著的英特尔Spectre和Meltdown芯片问题,这场辩论又回到了风口浪尖。
谷歌和微软的冲突凸显了公司之间在信息披露方面可能出现的问题。“幽灵”(Spectre)和“熔解”(Meltdown)漏洞表明,漏洞可以让企业与美国政府和消费者对立起来。
公司诉公司信息披露之争
2015年,谷歌的内部安全研究团队发现了这个漏洞,该团队负责搜索谷歌软件以及包括微软在内的其他供应商的漏洞。一旦发现漏洞,谷歌将遵守严格的90天政策:将漏洞通知供应商,并在90天后自动发布公开披露,无论该漏洞是否已得到解决。
微软最初要求延长到90天以上,谷歌拒绝了这一要求,并要求将披露日期延长到本月的第一个“补丁星期二”(本月的第二个星期二,是开发人员首选的补丁发布日期)。
微软在一篇博客文章中批评谷歌,指责该公司的决定是一个“被抓”的机会,并以用户为代价,他们在披露和补丁发布之间的两天内处于风险之中。微软重申了对“协调漏洞披露”的支持,该计划呼吁安全研究人员与开发人员密切合作,确保在公开披露之前发布修复程序。
谷歌和类似披露政策的支持者认为,明确的披露日期可以防止开发人员将漏洞掩盖在毯子下面,并且应该在公众的知情权和为开发人员提供修复问题的机会之间取得平衡。许多人采取更强硬的立场,认为立即公开信息是最好的政策。
在此事件发生后不久,谷歌发布了关于三个微软漏洞的额外更新。
讨论问题
- 如果有什么不同的话,谷歌和微软应该做些什么?
- 这一发布是否将用户置于不必要的风险之中,或者从长远来看,谷歌坚持其披露政策是否符合用户的最大利益?
- 谷歌的90天保单公平吗?还是应该愿意根据情况进行调整?
- 微软是否做出了充分的回应?坚持“补丁星期二”足够等待发布补丁的理由吗?
- 谷歌应该发布利用代码吗?
- 安全研究人员有什么义务,或者他们可以随心所欲地发表他们的工作吗?
公司诉美国政府案和公开信息之争
2017年和2018年,又发生了另一起备受瞩目的可疑漏洞披露案例,即“幽灵”和“熔解”芯片漏洞。2018年1月,英特尔透露,他们的数百万电脑芯片容易受到黑客攻击;然而,英特尔在2017年6月发现这一信息时并没有公开这一信息。相反,英特尔将问题告诉了选定的供应商(华为、谷歌、阿里巴巴和联想等),而他们则在幕后解决问题。
在这种情况下,某些公司正在合作解决这个问题,但在2018年7月,几名美国参议员指出与中国政府关系密切的公司在美国政府之前就知道了这个漏洞,将国家安全和消费者的安全置于危险之中。
讨论问题
- 英特尔对美国政府和公众隐瞒“幽灵”和“熔断”漏洞的决定是否正确?
- 公司是否有更多的道德义务向政府和公众披露漏洞,而不是直接向竞争对手披露?
- 立即向公众披露此类漏洞是一个好的最佳实践吗?
原写于2015年。2018年更新。