英国国家网络安全中心 (NCSC) 在执行日常运营任务时,有可能在软件、硬件、网站或关键基础设施中发现漏洞问题。他们会通过名为“公平裁决”的评审流程来判断是否披露所发现漏洞以便修复还是秘而不宣,以便在后续情报收集工作中使用。
上周,NCSC 解释称,当发现漏洞时,他们的出发点是负责任地发布。之后会让多个团队进行审议,判断漏洞是具有更高的价值以便保护英国及其盟友的安全,还是披露漏洞后修复更为重要。
评审流程三个牵涉三个团队:
1. 公平裁决技术专家组 (ETP),由包含 NCSC 在内的全英国情报社区相关主题专家组组成。
2. GCHQ 公平裁决委员会 (EB),包括来自其它政府机构和部门的代表。委员会主席由具有相关经验和专业知识的资深公务员组成,通常从 NCSC 抽调并向 NCSC 首席执行官报告。
3. 公平裁决监督委员会,由 NCSC 的首席执行官主持,确保公平裁决流程和相关程序相吻合。该委员会也会向 NCSC 首席执行官提出从公平裁决委员会作出的公平裁决决定的建议。
当新的漏洞报告提交时,公平裁决技术专家组会使用多种标准来判断是否应该保留还是发布。这些标准包括判断披露漏洞是否会对英国国家安全造成消极影响、是否应该将漏洞用于情报收集工作中,以及如不发布漏洞是否会对英国及其盟友带来太多风险。
如果决定保留漏洞,那么漏洞会经过更高级别团队的审核。除非所有相关团队就应该保留漏洞的决定达成共识,否则应该负责任地披露给厂商或组织机构。
不过也有一些例外情况,无需经过公平裁决流程的评审。例外情况包括漏洞是否是由开展类似评审进程的盟友向英国披露的,软件是否已不再受支持因此而无法修复,或者漏洞是否是由开发者有意为之。
如确定保留漏洞,将会按要求在每隔12个月或更短的时间内经历同样的评审流程。
这种评审流程并未英国所独有,其它国家如美国也有自己的“漏洞公平裁决策略和流程”。
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/123021.html