最近微软安全研究人员计划改变信息安全策略,修改当前信息安全披露制度,以使其对发现和修补漏洞的处理变得更加容易和安全。
据悉,目前在信息产业掀起了关于“全面披露”(FD)制度优点的争论,而在该制度下很多疵病信息在补丁可用之前就被公开了。另一种信息披露制度是“揭露协议”(RD)信息披露制度,而在该制度下,需要等到补丁可用时信息才会被公开。
微软高级安全战略家卡蒂•穆索瑞斯(Katie Moussouris)指出:“包括微软之内的大多数供应商倾向于选用“揭露协议”信息披露制度,而人们会有一种从全面披露到‘揭露协议’信息披露方式改变带来的落差感。 ‘揭露协议’只有在这种情况下才被弃用,即弃用是为了增强安全性、保护用户和系统的安全” 。该篇博文所倡导的信息披露制度嬴得了产业内一些大公司的支持。
据悉,微软正计划的“协调信息披露”(Coordinated Vulnerability Disclosureb,CDV)制度大部分内容与当前‘揭露协议’信息披露制度相似。但是二者也有区别,即如果攻击被广泛发现,微软公司和研究人员将会发出警告,指出存在的问题和可能确保系统安全的解决方案。
穆索瑞斯表示:“微软不赞成全面披露制度,公司研究人员仍然在研究使公布信息的举动能在某些原则下进行,这样便于公司协调所有公告并保护用户的安全。”微软可依赖计算部门安全技术高级管理人员马特•汤姆林森(Matt Thomlinson)表示:“实行全面披露制度太过极端,我们现在所做的一切只是为了保护用户,‘协调信息披露’制度才更有利于保护用户的安全”。