龙源期刊网 https://www.doczj.com/doc/1e7661309.html,
软件漏洞市场研究
作者:李承
来源:《商场现代化》2010年第09期
[摘要]软件漏洞是信息安全的核心问题之一,在人们就软件漏洞信息是否应当披露、如何
披露进行激烈争论的同时,软件漏洞的黑市交易活动猖獗,学者们认为应当发展软件漏洞的合法市场以打击黑市交易,并提出了软件漏洞市场的相关理论,一些组织也在实践中进行了建立软件漏洞市场的尝试,但其发展受到软件漏洞信息的一些固有属性的阻碍。本文建议建立可信第三
方交易平台和软件漏洞鉴定评估机制,克服障碍,促进软件漏洞市场的发展。
[关键词]软件漏洞市场交易平台
随着信息化社会的到来,信息安全已成为社会发展的基础和保障,然而,层出不穷的黑客攻击事件,网上病毒、恶意软件的泛滥,给信息安全带来了极大的挑战。追根溯源,其中一个核心的问题就在于构成信息系统的软件存在漏洞。软件漏洞对于信息安全至关重要,其价值便日益凸显,许多安全服务公司开始购买漏洞信息,而一些软件开发者也开始对向其报告软件漏洞付酬。实
际上,漏洞信息已经成为可以交易的商品,软件漏洞市场问题开始为人所瞩目。
一、软件漏洞披露及漏洞黑市
1.漏洞保密
漏洞信息并不是一开始就是市场上公开交易的商品。曾经在相当长的时间内,人们认为保
守软件漏洞秘密是确保信息安全的最好方式,因为若软件存在漏洞的情况不为人所知,则攻击者很可能不会发现。漏洞信息只在少数利益团体之间交换,并不为大众公开。在1988年计算机应急反应小组(CERT)成立后,研究人员发现软件漏洞一般先向其报告,CERT验证后再将其反馈给软件开发者,直到开发者推出相应的漏洞补丁后,CERT才将漏洞信息公开披露。然而,这种以保密换安全的方式并不有助于软件安全性的真正提高,CERT获得了大量的漏洞报告,但是验证过
程缓慢,软件开发者得到研究人员或者CERT的漏洞信息通报后,往往不急于推出漏洞补丁。这种从发现漏洞到补丁推出的缓慢过程受到了广泛的批评。
2.完全披露
1993年,Bugtraq邮件列表系统开始以邮件列表和新闻群组的形式公开讨论软件漏洞,研究者在此将其发现的漏洞详尽地披露,甚至还公开出版。自1995年,加入“完全披露”的人大幅增加。“完全披露”的支持者认为此项政策可以迫使软件开发者更为积极地填补漏洞,从而促进软件安全。他们认为公众的审查是提高软件安全性的惟一值得信赖的途径,将软件漏洞秘而不宣,看起来似乎使黑客难以知晓,不过,事实证明,黑客在揭露秘密的软件漏洞方面技术高超。完全披露政