本文讲的是HackerOne推出免费漏洞协调成熟度模型工具,HackerOne是一家提供漏洞披露和漏洞奖励计划的企业,它帮助消费者部署严格的策略,高效沟通并解决漏洞。作为帮助更多企业获得漏洞披露并协调信息的举措,HackerOne放出了免费的公开标杆分析工具,它被称为漏洞协调成熟度模型(Vulnerability Coordination Maturity Model,VCMM)。
为了获得获得VCMM的更多信息,媒体采访了HackerOne公司首席策略官凯蒂·莫索瑞斯(Katie Moussouris)。随着漏洞赏金机制获得主流媒体的关注,更多企业意识到它们需要部署流程和策略,以控制漏洞沟通和管理的方式。当凯蒂开始深入挖掘现状时,却发现很多公司并不知道目前的策略和能力。VCMM工具的目标在于为组织提供能够衡量现状的工具,让它们可以识别并优先考虑需要改进的领域。
托德·比尔兹利(Tod Beardsley)是Rapid7公司的安全研究主管,他解释称,在软件漏洞被揭露之后,人们存在很多迷惑和误解。“漏洞协调成熟度模型是HackerOne公司的一次重要行动,它可以将公司应对外界不请自来的漏洞报告的基本标准规范化”。
当谈到通讯错误时,比尔兹利对缺乏标准的问题表达了失望。尽管十多年来已经存在一个指导性的纲要,强调建立标准沟通方法的重要性,现状依然十分糟糕。比尔兹利说,他经常尝试向安全通讯的标准地址security@vendor-name.com发送邮件,然而在七成的情况下,系统会弹回目标电邮地址不存在的错误信息。
凯蒂·莫索瑞斯在一次媒体发布会上表示:“不存在对漏洞免疫的软件。对大多数组织而言,外部白帽子上报安全漏洞并不是一个存在与否的问题,而仅仅在于它什么时候到来。成熟度模型能够帮助企业预先准备,在漏洞协调领域里则能够提高企业软件的安全性,协调漏洞披露事件发生时各方的反馈。”
VCMM并不是只有漏洞安全专家才能使用的工具。事实上,这才是重点。比尔兹利称赞了HackerOne工具,并自信地表示VCMM是在正确方向上迈出的坚实一步:“HackerOne公司对投入的工作是明确而简洁的,当一个漏洞不期而至地被披露时,所引发的并不应该是恐惧和焦虑。”
原文发布时间为:十月 7, 2015
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/10582.html
