大多数安全专业人士都赞成较短的披露截止日期
戴尔EMC在Google Cloud中推出了Isilon Scale-Out NAS
科技公司喜欢隐私盾,但担心法律挑战
安全警察说,芬兰研发和公用事业在Cyber​​ Espionage Fire中
货币天文化击中印度的手机销售
Airpods Miss不是Apple的第一个假日销售Flub
Google Apps和Chrome OS的父亲有一个新的愿景 - 它围绕了Android
Western Digital将Storreduce重复数据删除添加到对象存储
Microsoft为Windows提出KB第3201845条14393.479
专家说,数字零售呼叫敏捷方法
随着审计性,深度学习可以彻底改变保险业
调查发现,大多数毫无准备的组织都毫无准备
开发人员获取新的GIT代码托管选项
华为首次亮相其第一基础的网络命题
安全酋长说,C-Suite网络攻击风险
Equifax违规课程未学到
Astazeneca IT oc op下降
日本政府否认报告其国防部队被攻击
联邦调查司希望汽车互相交谈以避免崩溃
随着下一个加速器队列,Cyron继续推动网络安全创新
HMV从传统MPLS到SD-WAN的枢轴
报告查找,在退出检查计划的家庭办公室“过度承诺”
本田希望与自行车车上的Waymo合作
rbs说要建立自己的数字银行
谷歌研究人员有助于测试加密缺陷
大多数欧洲公司对网络钓鱼袭击毫无准备
FlashPoint研究人员警告新的VBS装载机
微软最新的Windows 10专注于它的管理员
英特尔回忆起拙劣的幽灵修复
7 2017年招聘趋势
2017年在线零售增长不到预期
Godaddy为主欧洲提供1.8亿美元
优步为城市官员提供“匿名的”数据
政府必须投资于高效,以支持Brexit的食物贸易,例如,MPS
如何确保您正在运行稳定的Windows 10版本
政府支持国家网络政策和战略竞争
阿里巴巴云用AI解决马来西亚的交通困境
2016年将是1秒的时间:谷歌可以帮助您应对
戴尔保护Alienware,将低端游戏推入Inspiron 7000
Natwest打开四个英国Fintech Hubs
英特尔,微软在Windows 10个人电脑上与Cortana长途跋涉
IT服务管理有效性受到指标缺乏的阻碍
芬兰政府在奥卢的技术城市发展
Windows 10增长EBBS作为2016年结束
想象力GPU Tech明年可以发电Apple iPhone 8图形
LG推出智能家居机器人,Wi-Fi电器和超薄电视
DDos-for-for-hire服务尽管封闭主要市场
俄罗斯声称它从外国间谍服务中挫败了一个网络攻击
没有更多的批量通信数据保留,顶部欧盟法院告诉U.K.
英国财务监管机构与美国对手在金融气上合作
您的位置:首页 >产品 > 商业评论 >

大多数安全专业人士都赞成较短的披露截止日期

2021-07-31 14:44:08 [来源]:

大多数32%的安全专业人士投票认为60天是允许软件供应商在全面公开披露之前修复漏洞的合理时间,调查显示。

但是,安全公司Tripwire在旧金山的RSA会议上调查了147名安全专业人员的25%,表示公开披露不需要等待供应商的安全修复。

Project Zero在软件供应商发出的安全更新之前,Microsoft为Microsoft提供了与其研究人员发现的漏洞的供应商。

项目零实施了90天的截止日期,以确保供应商作为紧急事项地址漏洞,但从声称90天往往没有足够的时间来创建和测试修复的供应商中出现火灾。

Tripwire调查还透露,在没有提前批准该公司的情况下应允许安全研究人员是否应允许安全调查人员对公司产品和服务的安全限制进行拆分,其中有50%的受访者表示他们不应该允许,49%表示他们所谓的49%。

这是最近在美国格鲁吉亚州的纽森伯安全立法周围辩论,这将影响负责任的安全研究人员在公共利益中做事的能力,而不仅仅是恶意攻击者活动。

大多数调查受访者(84%)表示,需要更多的立法来保护网络攻击者的人员和组织,但是35%的人表示立法者需要指导,并应与信息安全专家合作。

超过三分之一的受访者(36%)表示,他们自己的组织在过去收到了一个未经请求的漏洞报告,而逾横半部分(53%)表示,他们的组织有一个官方渠道,外部安全研究人员可以轻松提交他们的漏洞产品或服务。

然而,近四分之一(24%)表示,他们的组织一直是与漏洞细节发布有关的勒索方案的目标。

Tyler Tyler Provimuly,Texwire的漏洞和曝光研究团队(Vert)表示,所有组织都能开放到接受研究是一个很好的想法,但表示惊讶的是,有53%的受访者报告有官方渠道这样做。

“这比我们过去看到的一些统计更好。去年,一份报告说,福布斯全球2000年的94%的公司没有可辨别的方法可以在网络中获得有关漏洞的报告,“他说。

漏洞报告提交,以帮助公司更好地保护自己及其[攻击]表面。

“负责任披露的点是建立更安全的互联网。那些作为勒索主题的一部分提交漏洞的人并不代表负责任的研究人员,“他说。

根据Tripwire的说法,调查结果表明,负责任的安全研究仍然是一个复杂的问题,而一些供应商仍然关注在未经证实知识的情况下展望研究其产品和服务的研究人员,而安全公司则表示,这是一个重要的区别为改善社会和那些为自己的个人收益或其他恶意而做的人的工作。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。