^Stefan Frei, Dominik Schatzmann, Bernhard Plattner, Brian Trammel. Modelling the Security Ecosystem - The Dynamics of (In)Security. 2009 [2019-04-27]. (原始内容于2019-04-27).
^Dan Kaminsky discovery of DNS cache poisoning (PDF). [2019-04-27]. (原始内容 (PDF)于2012-07-07).
^MIT students find vulnerability in the Massachusetts subway security. [2019-04-27]. (原始内容于2016-03-18).
^Researchers break the security of the MIFARE Classic cards (PDF). [2019-04-27]. (原始内容 (PDF)于2021-03-18).
^ 10.010.1Project Zero: Reading privileged memory with a side-channel. [2019-04-27]. (原始内容于2019-10-01).
^The Return of Coppersmith’s Attack: Practical Factorization of Widely Used RSA Moduli (页面存档备份,存于互联网档案馆), Matus Nemec, Marek Sys, Petr Svenda, Dusan Klinec,Vashek Matyas, November 2017
行進 31, 2023
负责任的披露, 本條目存在以下問題, 請協助改善本條目或在討論頁針對議題發表看法, 本條目翻譯自英語維基百科, 需要精通本領域的編者協助校對翻譯, 如果您精通本領域, 又能清楚地將來源語言翻譯為中文, 歡迎您協助參與校對與修訂, 原文参见维基数据, 此條目可能包含原创研究或未查证内容, 请协助補充参考资料以改善这篇条目, 详细情况请参见讨论页, 此條目論述以部分區域為主, 未必具有普世通用的觀點, 請協助補充內容, 以避免偏頗, 或討論本文的問題, 英語, responsible, disclosure, 是计算机. 本條目存在以下問題 請協助改善本條目或在討論頁針對議題發表看法 本條目翻譯自英語維基百科 需要精通本領域的編者協助校對翻譯 如果您精通本領域 又能清楚地將來源語言翻譯為中文 歡迎您協助參與校對與修訂 原文参见维基数据 此條目可能包含原创研究或未查证内容 请协助補充参考资料以改善这篇条目 详细情况请参见讨论页 此條目論述以部分區域為主 未必具有普世通用的觀點 請協助補充內容 以避免偏頗 或討論本文的問題 负责任的披露 英語 Responsible disclosure 是计算机安全或其他领域中的一种漏洞披露模型 它限制了漏洞披露的行为 以提供一段时间来修补或修缮即将披露的漏洞或问题 这一特点使之与完全披露 英语 Full disclosure computer security 模型不同 硬件和软件的开发人员通常需要一些时间和资源才能修复新发现的错误 而黑客和计算机安全科学家认为 让公众了解高危害的漏洞是其社會責任 隐瞒这些问题可能导致虚假的安全感 英语 Security theater 为了避免这种情况 相关各方经过协调 就修复漏洞和防止未来发生任何损害达成了一致意见 根据漏洞的潜在影响 开发和应用紧急补丁或变通方案所需要的预计时间 以及其他因素 有限披露时限可能在几天到几个月不等 负责任的披露未能满足那些希望籍此获得经济补偿的安全研究员 來源請求 向预计提供赔偿的供应商报告漏洞可能被视为敲诈勒索 虽然安全漏洞市场已经形成 但安全漏洞的商业化仍然是与安全漏洞披露相关的热门话题 在如今 商业漏洞市场有两个主要的参与者 iDefense在2003年启动了漏洞贡献者计划 VCP 而TippingPoint 英语 TippingPoint 在2005年启动了零日计划 ZDI 上述组织遵循所购买材料的负责任披露流程 2003年3月到2007年12月期间 影响微软和苹果公司的漏洞平均有7 5 由VCP或ZDI处理 1 通过支付程序错误赏金 英语 Bug bounty 来支持负责任的披露的独立公司包括Facebook Google Mozilla和Barracuda Networks 英语 Barracuda Networks 2 Vendor sec 英语 Vendor sec 是一个 负责任的披露 邮件列表 许多计算机应急响应小组 CERT 在协调负责任的披露 目录 1 披露政策 2 例子 3 参见 4 参考资料披露政策 编辑Google Project Zero有90天的披露截止日期 从通知存在安全漏洞的提供商时起算 漏洞的详细信息将在90天后与防御社区公开分享 如果提供商发布了修复程序则会更快 3 ZDI有120天的披露截止日期 从收到提供商的响应时起算 4 例子 编辑通过 负责任的披露 解决的安全漏洞 MD5碰撞攻击 展示如何创建假的CA证书 1周 5 星巴克礼品卡双重消费 竞争条件 制造免费的额外积分 10天 Egor Homakov 6 Dan Kaminsky 英语 Dan Kaminsky 发现的DNS缓存投毒 5个月 7 MBTA vs Anderson 英语 MBTA vs Anderson 麻省理工学院学生发现的马萨诸塞州地铁安全漏洞 5个月 8 奈梅亨拉德伯德大学攻破的MIFARE Classic卡安全性能 6个月 9 Meltdown漏洞 影响Intel x86微处理器和部分基于ARM的微处理器的硬件漏洞 7个月 10 Spectre漏洞 分支預測器的实现造成的硬件漏洞 影响现代微处理器的推测执行 允许恶意进程访问其他程序的虚拟内存内容 7个月 10 ROCA漏洞 英语 ROCA vulnerability 影响一个英飞凌程序库和YubiKey生成的RSA密钥 8个月 11 参见 编辑吹哨人 信息敏感性 英语 Information sensitivity 白帽黑客 计算机应急响应小组参考资料 编辑 Stefan Frei Dominik Schatzmann Bernhard Plattner Brian Trammel Modelling the Security Ecosystem The Dynamics of In Security 2009 2019 04 27 原始内容存档于2019 04 27 存档副本 2019 04 27 原始内容存档于2012 03 06 Feedback and data driven updates to Google s disclosure policy Project Zero 2015 02 13 2018 11 17 原始内容存档于2021 05 15 Disclosure Policy www zerodayinitiative com 2018 11 17 原始内容存档于2021 02 25 MD5 collision attack that shows how to create false CA certificates 2019 04 27 原始内容存档于2021 05 07 Hacking Starbucks for unlimited coffee 2019 04 27 原始内容存档于2019 04 18 Dan Kaminsky discovery of DNS cache poisoning PDF 2019 04 27 原始内容存档 PDF 于2012 07 07 MIT students find vulnerability in the Massachusetts subway security 2019 04 27 原始内容存档于2016 03 18 Researchers break the security of the MIFARE Classic cards PDF 2019 04 27 原始内容存档 PDF 于2021 03 18 10 0 10 1 Project Zero Reading privileged memory with a side channel 2019 04 27 原始内容存档于2019 10 01 The Return of Coppersmith s Attack Practical Factorization of Widely Used RSA Moduli 页面存档备份 存于互联网档案馆 Matus Nemec Marek Sys Petr Svenda Dusan Klinec Vashek Matyas November 2017 取自 https zh wikipedia org w index php title 负责任的披露 amp oldid 74376156, 维基百科,wiki,书籍,书籍,图书馆,
