欧盟的网络安适机构ENISA已经深入研究了缝隙披露的问题,并颁布了一份呈报,该呈报涉及影响各类缝隙披露行为者行为的经济因素,激励和动机,以及比来披露的高调缝隙的两个案例研究( Meltdown,Spectre,EternalBlue)说明了该过程是如何产生的。
它研究了信息安适市场的经济方面以及它们与脆弱性披露的关系,以及古典经济学观点如何应用于该问题(公地悲剧,网络效应,外部性,不同错误称信息和逆向选择,责任倾销,德性危害)。
“经济学是现代安适的关键驱动因素,经济因素往往决定了解决问题时采纳的要领决策。该呈报完美地说明了这一事实,并为差别参预者在缝隙披露范围的行为供给了有价值的见解,“ENISA执行董事Udo Helmbrecht指出。
“总体而言,该研究已经孕育产生了许多重要发明。首先,该研究表白了脆弱性披露以及主要是CVD在现代社会中的重要性。正如EternalBlue案例所见,广泛使用的软件和硬件中的缝隙可能会对全球造成巨大的社会风险,因此有须要制定流程来丰裕识别,呈报,接收,分类和缓解缝隙,“研究人员发明。
其他发明包孕:
将缝隙披露视为一个生态系统非常重要。参预缝隙披露的所有参预者都应认识到成立和运行互利布局的重要性,这些布局能够实现有效和高效的CVD
应向步履者供给资源,良好做法和自愿标准
发明者,协调员和提供商必需能够以及时的方法和双方都能理解的配合语言进行扶植性的互动。
确保安适港实践和法令保障法子对付确定和呈报缝隙的安适研究人员来说是必需的
大大都组织应考虑实施CVD流程,有些组织可能需要考虑错误赏金打算,但不会以开发和测试阶段的其他信息安适干与干预为价钱。
虽然CVD和bug赏金打算可以识别某些类型的缝隙,但它们不太可能识别现代计算系统中存在的更大的布局问题,因此当局,学术指导和私人组织应继续投资于恒久安适研究,以识别和减轻根基弱点例如设计缺陷或协议缝隙。
该呈报是按照案头研究,现有文献审查(学术研究,技术呈报,媒体文章等)以及与缝隙披露界专家的访谈(来自学术界,bug赏金平台,缝隙披露打算运营商,提供商等)。