近日,HackerOne官方发布公告,称已放弃使用平台现有的漏洞分类评级标准,转向使用CWE(Common Weakness Enumeration,常见缺陷枚举)标准。
作为全球知名的漏洞协作和悬赏平台,HackerOne创建已有五年。这家公司在13年发起互联网漏洞赏金计划,开始使用自己定义的18种漏洞类型的分类规则。
新旧标准对比(左侧为旧标准)
CWE是由安全社区MITER推出的常见软件安全漏洞列表,是业内相互沟通漏洞信息的通用标准之一。大家看着可能觉得眼生?CVE漏洞编号熟吧,CVE的运营组织就是MITER,分类标准则是CWE。
HackerOne在公告中解释,采用CWE漏洞分类标准,可以对漏洞进行更完整和准确的描述,有效提高平台上企业、白帽子的沟通效率,并且HackerOne也能借此参与减轻/消除漏洞危害的行业讨论当中。
这只是HackerOne和传统安全标准接轨的一小部分。去年10月,HackerOne还曾上线CVSS计算工具,在漏洞影响评级上正式支持历史悠久的CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)标准。白帽子们使用工具,可以根据CVSS标准给自己的漏洞评估严重程度。
CVSS标准由安全组织FIRST管理。这个组织来头也很大,其主要成员是各国CERT和Google、Amazon、Apple等行业巨头,国内仅有华为、中兴两家是企业成员。CVSS是FIRST内部推行的漏洞评级标准,同时也开放给外部使用。
某种程度上,HackerOne向CWE、CVSS等行业通用标准靠拢,意味着它开始融入传统安全生态,变成其中的一环。五年前,行业内尚没有“安全众测”的概念,由HackerOne、BugCrowd、WooYun等公司创建和推动的这一模式,创造性地将攻防两方以一种良性关系结合起来,让企业能更早一步发现并规避风险。数年来,Adobe、Yahoo!、Uber、通用汽车等行业巨头先后入驻HackerOne,推出漏洞赏金计划。最令人意外的是,连美国国防部也加入其中发布众测需求,并且收获了不少高危风险反馈。
在国内,目前有360补天、漏洞盒子、Sobug三家进行漏洞通报或悬赏业务。这三家的漏洞分类评级规则是怎样的?嘶吼也去看了下:
360补天:漏洞类型有10种,影响等级有三档,具体规则为内部制定。 漏洞盒子:漏洞类型为内部制定,影响等级为CVSS标准。 Sobug:漏洞类型和影响等级均为站方制定。
可以看到,上述三家中只有一家的漏洞评级用了国际标准,其它均为内部制定。这可能与国内企业的安全团队较少与国际对话合作有关,企业内部没有相关要求,漏洞平台也很难有动力去迎合国际标准。