开发者社区> 玄学酱> 正文

HackerOne 放弃现有漏洞分类评级规则,转向行业通用标准

简介: 本文讲的是HackerOne 放弃现有漏洞分类评级规则,转向行业通用标准, 近日,HackerOne官方发布公告,称已放弃使用平台现有的漏洞分类评级标准,转向使用CWE(Common Weakness Enumeration,常见缺陷枚举)标准。
+关注继续查看
本文讲的是HackerOne 放弃现有漏洞分类评级规则,转向行业通用标准

近日,HackerOne官方发布公告,称已放弃使用平台现有的漏洞分类评级标准,转向使用CWE(Common Weakness Enumeration,常见缺陷枚举)标准。

作为全球知名的漏洞协作和悬赏平台,HackerOne创建已有五年。这家公司在13年发起互联网漏洞赏金计划,开始使用自己定义的18种漏洞类型的分类规则。

HackerOne 放弃现有漏洞分类评级规则,转向行业通用标准

新旧标准对比(左侧为旧标准)

CWE是由安全社区MITER推出的常见软件安全漏洞列表,是业内相互沟通漏洞信息的通用标准之一。大家看着可能觉得眼生?CVE漏洞编号熟吧,CVE的运营组织就是MITER,分类标准则是CWE。

HackerOne在公告中解释,采用CWE漏洞分类标准,可以对漏洞进行更完整和准确的描述,有效提高平台上企业、白帽子的沟通效率,并且HackerOne也能借此参与减轻/消除漏洞危害的行业讨论当中。

这只是HackerOne和传统安全标准接轨的一小部分。去年10月,HackerOne还曾上线CVSS计算工具,在漏洞影响评级上正式支持历史悠久的CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)标准。白帽子们使用工具,可以根据CVSS标准给自己的漏洞评估严重程度。

CVSS标准由安全组织FIRST管理。这个组织来头也很大,其主要成员是各国CERT和Google、Amazon、Apple等行业巨头,国内仅有华为、中兴两家是企业成员。CVSS是FIRST内部推行的漏洞评级标准,同时也开放给外部使用。

某种程度上,HackerOne向CWE、CVSS等行业通用标准靠拢,意味着它开始融入传统安全生态,变成其中的一环。五年前,行业内尚没有“安全众测”的概念,由HackerOne、BugCrowd、WooYun等公司创建和推动的这一模式,创造性地将攻防两方以一种良性关系结合起来,让企业能更早一步发现并规避风险。数年来,Adobe、Yahoo!、Uber、通用汽车等行业巨头先后入驻HackerOne,推出漏洞赏金计划。最令人意外的是,连美国国防部也加入其中发布众测需求,并且收获了不少高危风险反馈。

在国内,目前有360补天、漏洞盒子、Sobug三家进行漏洞通报或悬赏业务。这三家的漏洞分类评级规则是怎样的?嘶吼也去看了下:

360补天:漏洞类型有10种,影响等级有三档,具体规则为内部制定。
漏洞盒子:漏洞类型为内部制定,影响等级为CVSS标准。
Sobug:漏洞类型和影响等级均为站方制定。

可以看到,上述三家中只有一家的漏洞评级用了国际标准,其它均为内部制定。这可能与国内企业的安全团队较少与国际对话合作有关,企业内部没有相关要求,漏洞平台也很难有动力去迎合国际标准。



原文发布时间为:2017年3月20日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
「企业合规」开发符合GDPR标准的应用程序的15个步骤
「企业合规」开发符合GDPR标准的应用程序的15个步骤
17 0
浅析评价软件规模的2种主要方法
在对软件研发成本度量(包括估算与测量)时,对于软件规模本身的评价是首要任务。目前评价软件规模的方法主要分为2种:基于业务视角和基于开发视角。
1026 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
文章
问答
视频
文章排行榜
最热
最新
相关电子书
更多
从云上开发角度思考个人信息保护
立即下载
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载