0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

英国发布漏洞披露工具包,以帮助公司实施改进漏洞披露

如意 来源:FreeBuf 作者:Megannainai 2020-09-16 16:44 次阅读

英国国家网络安全中心(NCSC)发布了一项指南——“漏洞披露工具包”,以帮助公司实施漏洞披露流程或在已建立漏洞披露流程的情况下进行改进。该指南强调,各种规模的组织都需要为鼓励负责任的漏洞披露。

这份指南并不是让漏洞披露更容易,而是提供了更好的流程建议及必要信息

如今,大多数网络攻击持续发生,同时研究人员也在不断发现新的安全漏洞风险,所以,漏洞披露程序非常有必要。

不过,现状是,披露这些问题可能特别困难。因为在多数情况下,需要花费大量精力来寻找可以采取相关措施的联系人。NCSC表示,人们希望能够直接向负责的主体报告发现的漏洞。

该指南的内容包括:如何将外部漏洞信息定向给到合适的人;此外该指南遵循明确的标准,该标准定义了公认的关闭漏洞的框架。

英国发布漏洞披露工具包,以帮助公司实施改进漏洞披露

NCSC建议设置易于查找的专用联系人(电子邮件地址或安全的Web表单)。这可以通过security.txt轻松完成,该文件是发布在域根目录/.well-known目录中的纯文本文件。security.txt可以存储覆盖公司的安全联系人和漏洞披露政策,也可以链接到这些信息。

确认并非网络钓鱼的情况下,企业应该及时响应未经请求的漏洞披露做出响应,可以与他们互动或者表示感谢等。一家减少其基础结构中漏洞数量的公司,可以提供更安全的产品和服务,并降低成为网络攻击受害者的风险。

此外,NCSC建议企业避免强迫漏洞披露者签署保密协议,“因为个人只是想确保漏洞已得到修复。”所以,让研究人员了解漏洞的处理进展也很重要,这表明对漏洞披露的透明及赞赏。这样做的另一个好处是,可以重新测试并确认问题已经解决。

“漏洞披露工具包”的发布是将漏洞报告嵌入英国立法框架的序言。英国政府目前正在制定法律,要求智能设备制造商向公众提供漏洞披露流程
责编AJX

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3158

    浏览量

    59730
  • 工具
    +关注

    关注

    4

    文章

    311

    浏览量

    27777
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15371
收藏 人收藏

    评论

    相关推荐

    最新Simplicity SDK软件开发工具包发布

    最新的SimplicitySDK软件开发工具包已经发布!此次更新针对SiliconLabs(芯科科技)第二代无线开发平台带来了包括蓝牙6.0的信道探测(Channel Sounding
    的头像 发表于 12-24 09:47 83次阅读

    常见的漏洞分享

    #SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
    的头像 发表于 11-21 15:39 104次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    高通警告64款芯片存在“零日漏洞”风险

    近日,高通公司发布了一项重要的安全警告,指出其多达64款芯片组中存在一项潜在的严重“零日漏洞”,编号为CVE-2024-43047。这一漏洞位于数字信号处理器(DSP)服务中,已经出现
    的头像 发表于 10-14 15:48 2473次阅读

    漏洞扫描一般采用的威廉希尔官方网站 是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描威廉希尔官方网站 : 自动化漏洞扫描 : 网络扫描 :使用自动化
    的头像 发表于 09-25 10:27 358次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全威廉希尔官方网站 ,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的攻击。漏洞扫描的主要功能是
    的头像 发表于 09-25 10:25 402次阅读

    内核程序漏洞介绍

    电子发烧友网站提供《内核程序漏洞介绍.pdf》资料免费下载
    发表于 08-12 09:38 0次下载

    英国公司实现英伟达CUDA软件在AMD GPU上的无缝运行

    7月18日最新资讯,英国创新科技企业Spectral Compute震撼发布了其革命性GPGPU编程工具包——“SCALE”,该工具包实现了英伟达CUDA软件在AMD GPU上的无缝迁
    的头像 发表于 07-18 14:40 639次阅读

    英特尔修补90项漏洞,其中包括Neural Compressor高危缺陷

    本次披露的问题主要集中在软件层面,神经压缩机中的一个漏洞被评为CVSS10.0的“满点”分数,具有远程提权和实施任意攻击的能力。
    的头像 发表于 05-16 14:56 633次阅读

    微软五月补丁修复61个安全漏洞,含3个零日漏洞

    值得注意的是,此次修复并不包含5月2日修复的2个微软Edge漏洞以及5月10日修复的4个漏洞。此外,本月的“补丁星期二”活动还修复了3个零日漏洞,其中2个已被证实被黑客利用进行攻击,另一个则是公开
    的头像 发表于 05-15 14:45 690次阅读

    阿联酋公司斥3000万美元购手机零日漏洞

     阿拉伯联合酋长国的Crowdfense公司,与Zerodium类似,于2019年投资千万美元启动了漏洞购买计划,近期再次启动Exploit Acquisition Program,豪掷三亿美元购入各类手机及软件零日漏洞。此次计
    的头像 发表于 04-08 10:38 557次阅读

    QE for Motor V1.3.0:汽车开发辅助工具解决方案工具包

    电子发烧友网站提供《QE for Motor V1.3.0:汽车开发辅助工具解决方案工具包.pdf》资料免费下载
    发表于 02-19 10:44 0次下载
    QE for Motor V1.3.0:汽车开发辅助<b class='flag-5'>工具</b>解决方案<b class='flag-5'>工具包</b>

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook A
    的头像 发表于 01-18 14:26 678次阅读

    利用ProfiShark 构建便携式网络取证工具包

    网络安全领域日益重视便携式取证工具的灵活应用。本文介绍了如何构建一个ProfiShark1G为核心的便携式网络取证工具包提高网络取证的效率和实效性
    的头像 发表于 01-13 08:04 1588次阅读
    利用ProfiShark 构建便携式网络取证<b class='flag-5'>工具包</b>

    POC管理和漏洞扫描小工具

    工具是采用javafx编写,使用sqllite进行poc储存的poc管理和漏洞扫描集成化工具。主要功能是poc管理,并且采用多线程进行漏洞扫描。
    的头像 发表于 01-09 11:01 834次阅读
    POC管理和<b class='flag-5'>漏洞</b>扫描小<b class='flag-5'>工具</b>

    海思披露公司聚焦行业专用和嵌入式AI威廉希尔官方网站 的A²MCU

    在12月中,上海海思披露公司聚焦行业专用(Application Specific)和嵌入式AI威廉希尔官方网站 (Artificial Intelligence)的A²MCU。
    的头像 发表于 01-04 10:04 1235次阅读
    海思<b class='flag-5'>披露</b>了<b class='flag-5'>公司</b>聚焦行业专用和嵌入式AI威廉希尔官方网站
的A²MCU