对漏洞披露的法律限制
肯德拉·阿尔伯特 (Kendra Albert) 给出了 很棒的谈话 今年的 USENIX Security 会议上,指出围绕漏洞披露的法律协议压制了研究人员,同时允许公司不修复漏洞——这与 2000 年代初期负责任的披露运动所要阻止的情况恰恰相反。这就是谈话。
三十年前,关于漏洞披露是否有利于计算机安全的争论非常激烈。一方面,全面披露的倡导者认为,软件错误没有得到修复,如果不公开谴责制造不安全软件的公司,软件错误也不会得到修复。另一方面,公司认为,全面披露会导致利用未修补的漏洞,尤其是在难以修复的情况下。经过博客文章、公开辩论和无数的邮件列表激烈争论之后,出现了一个折衷的解决方案:协调漏洞披露,即漏洞在保密一段时间后被披露,供应商可以尝试修复问题。尽管全面披露已不再流行,但披露获胜,而隐匿带来的安全性却失去了。从此我们就过上了幸福的生活。
或者我们有吗?付费漏洞赏金的发展以及为安全团队管理漏洞赏金计划的平台的兴起极大地改变了信息披露的现实。在某些情况下,这些计划需要同意合同限制。在现状下,这意味着软件公司有时会将漏洞注入漏洞赏金管理平台,然后以保密协议为条件提交,从而禁止研究人员分享他们的发现。
在本次演讲中,我将解释托管错误赏金计划的保密要求如何限制那些试图报告漏洞的人公开分享其发现的能力,从而损害了 CVD 流程中心的交易。我将讨论合同法可以告诉我们这些限制如何以及何时可以强制执行,更重要的是,当它们不能强制执行时,为黑客在提交时如何理解自己的合法权利提供建议。最后,我将呼吁平台和公司调整其做法,使其更符合协调漏洞披露的最初协议,包括禁止要求保密的协议。
这是我在 2007 年谈论“负责任的披露”时的情况:
这是一个好主意——如今这已成为正常程序——但只有在完全披露成为常态的情况下,这一想法才可能实现。只有当全面披露构成威胁时,这仍然是一个好主意。
标签: 法院、披露、视频、漏洞
发表于 2025 年 11 月 19 日上午 7:04 • 3 条评论
#对漏洞披露的法律限制