看看英国GCHQ的漏洞披露策略

11月30日，英国间谍机构政府通信总部(GCHQ)及其信息安全部门NCSC发布了安全漏洞披露策略，概述了其是如何确定是否将漏洞追捕结果告知厂商的。

NCSC去年向微软披露了 3 个漏洞，包括两个 Windows Defender 关键漏洞和一个Edge及IE11浏览器脚本引擎远程代码执行漏洞。

向微软报告的这三个漏洞都经过了30号公布的“漏洞公平裁决过程”，该过程由3层决策系统组成，英国政府用以权衡是否向厂商报告其发现的安全漏洞。

但为什么要在这个时候公开这一漏洞披露决策过程呢？GCHQ称，出于让公众放心的目的，英国调查权专员已同意监察该公平裁决过程的实际操作。

这一解释与当天生效的一项要求不谋而合：使用《调查权法案》“最具侵入性的调查权力”需经过法官的批准。

GCHQ表示，其默认立场是漏洞披露需与国家利益一致。毕竟，GCHQ和NCSC知道自己可能不具备某一漏洞的专门知识。披露漏洞可以让供应商为政府机构、公司企业和消费者提供能够保护其计算机的补丁。

是否披露的问题是政府和科技行业间的棘手难题。去年的WannaCry勒索软件攻击将这一问题摆到了公众面前，因为该勒索软件是依赖美国国家安全局(NSA)泄露的Windows漏洞利用代码打造的。

面对WannaCry的可怕后果，微软总裁 Brad Smith 抨击美国间谍机构“囤积”漏洞危害消费者的行为，呼吁制定新的规则迫使政府向厂商报告漏洞。1个月后，使用同一NSA漏洞利用代码的NotPetya勒索软件爆发，给欧洲和美国公司企业带来了超过 10亿美元 的损失。

GCHQ的公平裁决过程裁定该机构或其下属机构发现的零日漏洞是否报告给相关方。

3层决策系统包括安全专家、情报机构成员、政府机构代表和由NCSC首席执行官 Ciaran Martin 出任主席的公平监管委员会。NCSC于2016年10月组建，旨在帮助英国公司企业响应网络攻击，在公平裁决过程中起到重要作用。

被发现的零日漏洞提交到公平裁决技术专家组，如果专家组内情报机构和NCSC成员一致认为该漏洞应披露，该漏洞就会被报告给厂商。

如果专家组不能达成一致，问题会被提交到由政府机构代表组成的公平裁决理事会，在Martin的代理人主导下进行裁决。如果理事会还不能达成一致，问题就上交给Martin亲自执掌的公平裁决监管委员会。委员会的作用就是确保公平裁决过程按照指定的程序恰当运行。

GCHQ称，所有保留的漏洞至少每12个月会审查一次。

但也有漏洞没有经过该公平裁决过程审议。GCHQ没有提供任何硬性规定，但指出3种情况下会出现这一现象：

1)合作政府已确认漏洞并与GCHQ共享了该信息；

2)产品已不再提供支持；

3)产品从设计上就是脆弱的，产品中存在显而易见的脆弱配置。

NCSC技术总监称，认为所有漏洞都要披露的想法非常天真，NCSC与情报机构参与到公平裁决过程中能起到更好的国家安全保护左右。

英国的漏洞公平裁决过程每一步都偏向于披露漏洞，但披露漏洞并不能实质上改变从根本上就不安全产品的安全状况。所以，有时候漏洞发现会被用于与相关公司展开更战略性的对话，帮助他们提升其产品的整体安全性。