英国政府发布工具包，帮助公司改进漏洞披露流程

英国国家网络安全中心(NCSC)发布了一项指南——“漏洞披露工具包”，以帮助公司实施漏洞披露流程或在已建立漏洞披露流程的情况下进行改进。该指南强调，各种规模的组织都需要为鼓励负责任的漏洞披露。

在滨湖等地区，都构建了全面的区域性战略布局，加强发展的系统性、市场前瞻性、产品创新能力，以专注、极致的服务理念，为客户提供网站设计、成都网站制作网站设计制作按需设计,公司网站建设,企业网站建设,成都品牌网站建设,成都全网营销推广,成都外贸网站制作,滨湖网站建设费用合理。

这份指南并不是让漏洞披露更容易，而是提供了更好的流程建议及必要信息。

如今，大多数网络攻击持续发生，同时研究人员也在不断发现新的安全漏洞风险，所以，漏洞披露程序非常有必要。

不过，现状是，披露这些问题可能特别困难。因为在多数情况下，需要花费大量精力来寻找可以采取相关措施的联系人。NCSC表示，人们希望能够直接向负责的主体报告发现的漏洞。

该指南的内容包括：如何将外部漏洞信息定向给到合适的人;此外该指南遵循明确的标准，该标准定义了公认的关闭漏洞的框架。

NCSC建议设置易于查找的专用联系人(电子邮件地址或安全的Web表单)。这可以通过security.txt轻松完成，该文件是发布在域根目录/.well-known目录中的纯文本文件。security.txt可以存储覆盖公司的安全联系人和漏洞披露政策，也可以链接到这些信息。

确认并非网络钓鱼的情况下，企业应该及时响应未经请求的漏洞披露做出响应，可以与他们互动或者表示感谢等。一家减少其基础结构中漏洞数量的公司，可以提供更安全的产品和服务，并降低成为网络攻击受害者的风险。

此外，NCSC建议企业避免强迫漏洞披露者签署保密协议，“因为个人只是想确保漏洞已得到修复。”所以，让研究人员了解漏洞的处理进展也很重要，这表明对漏洞披露的透明及赞赏。这样做的另一个好处是，可以重新测试并确认问题已经解决。

“漏洞披露工具包”的发布是将漏洞报告嵌入英国立法框架的序言。英国政府目前正在制定法律，要求智能设备制造商向公众提供漏洞披露流程。

参考来源：

https://www.bleepingcomputer.com/news/security/uk-government-releases-toolkit-to-easily-disclose-vulnerabilities/

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容