美国卡内基梅隆大学软件工程研究所( Software Engineering Institute，简称SEI)是美国国防部资助的研发中心，由卡内基梅隆大学运营。SEI提供技术推进软件工程实践，与组织机构协作显著改进软件工程能力。

软件工程研究所CERT网络安全部是全球领先信任机构，致力于改进计算机系统、网络以及美国网络安全行业资产的安全与弹性。

当地时间8月15日，美国卡内基梅隆大学软件工程研究所CERT部门发布 “CERT漏洞协同披露指南”(The CERT Guide to Coordinated Vulnerability Disclosure)。

“漏洞协同披露”(Coordinated Vulnerability Disclosure，简称CVD)是缓解信息安全漏洞，削弱对手优势的过程。CVD是一个过程，而非事件。发布补丁或文件是CVD过程中的重要事件。

CVD参与对象可能会反复提出以下问题：

得知产品存在漏洞，应采取哪些行动予以响应?其它哪些人需要了解事件?这些人需了解事件的最佳时机?

只有当这些问题迎刃而解，无人存在疑问时，CVD过程才算结束。

CVD与漏洞管理(Vulnerability Management，简称VM)不同，不可混为一谈。VM包含CVD的下游过程，一旦漏洞被披露，部署人员必须采取行动予以响应。

CVD原则如下：

• 降低损害——发布漏洞信息降低潜在损害;使用漏洞缓解技术;减少陷入风险的时间;发布优质补丁;自动识别易受攻击的数据，自动部署补丁。

• 假设会有人报告漏洞——假设有人已花费时间和精力联系厂商或协调者报告问题。

• 避免措手不及——措手不及会增加漏洞披露带来的消极后果，应尽量避免。

• 激励——奖励通常比惩罚更有效。由于激励会加强安全研究人员与组织机构之间的未来合作关系，因此激励较为重要。

• 道德考量——CVD过程可采用技术和媒体专业团体的大量道德准则。

• 改进过程——CVD过程参与者应吸取经验，并响应改进过程。CVD还能为组织机构的软件开发生命周期(SDL)提供重要反馈。

• CVD苛刻——漏洞披露是多面问题，似乎没有“正确”答案，只有“更好”或“更糟”的解决方案。

CVD过程包含的角色

CVD以发现漏洞开始，部署补丁或缓解措施结束。因此，CVD过程涉及不同的角色和利益相关者

• 发现者：发现漏洞的个人或组织机构。

• 报告者：向厂商报告漏洞的个人或组织机构。

• 厂商：生产或维护漏洞产品的个人或组织机构。

• 部署者：必须部署补丁或采取其它补救措施的个人或组织机构。

• 协调者：促进协同响应过程的个人或组织机构。

CVD阶段

CVD过程可广泛定义为阶段。虽然这些阶段有时可能会出现次序颠倒的情况，甚至会在处理单个漏洞案例中重复出现(例如，接收者可能需要独立验证报告)，但常见顺序如下：

• 发现：发现产品中存在的漏洞。

• 报告：产品厂商或第三方协调员收到漏洞报告。

• 验证并归类：报告接收人验证报告，确保准确度，以采取进一步行动之前确定是否优先处理。

• 修复：开发修复计划(软件补丁，也可能是其它机制)并测试。

• 公众意识：将漏洞和修复计划披露给公众。

• 部署：将修复计划应用到已部署的系统中。

CVD过程差异

CVD过程会因参与者、时间推移和环境不同而存在差异：

• 选择披露政策：由于业务需求各异，披露政策可能需要适用于不同的组织机构、行业、产品，例如补丁分发或安全风险。

• 多方协调：一个发现者与一个厂商之间的协调相对直接，但有些案例涉及多名发现者、或复杂的供应链通常需要更多关注。

• 协同与同步：不同的组织机构的工作步调不同，这会给同步漏洞信息和补丁增加难度。

• 协同范围：CVD参与者必须决定协同过程范围，例如最好将关键基础设施漏洞从头到尾协同披露给系统部署者，然而，对于移动应用程序的漏洞，也许通知了开发人员自动更新过程就足够了。

CERT协调中心资深漏洞分析师艾伦豪斯霍尔德表示，移动设备的数量已经超出传统计算机的数量，而物联网将在未来几年赶超移动设备数量。随着漏洞发现漏洞和技术为了满足现实不断发展，因此协调和披露的工具与过程也必须满足现实要求。由于硬件系统可能会主宰未来的互联网，因此必须重新评估许多有关披露时间、协调渠道、开发周期、扫描、打补丁等漏洞处理过程的设想。