Help net security發佈了一篇歐盟法律如何影響軟體漏洞的揭露和修復
軟體漏洞是指軟體中存在的錯誤或缺陷,可能導致安全風險或功能故障。當發現或被通知有漏洞時,軟體開發者或製造商應該盡快修復問題,並在修復完成後公開揭露漏洞的相關資訊,以便社群受益。這種做法被稱為負責任的漏洞揭露(Responsible Vulnerability Disclosure, RVD)。
然而,歐盟正在推動一項名為網路韌性法案(Cyber Resilience Act, CRA)的新法律,可能會改變這種做法,並對軟體安全造成負面影響。該法案的目的是提高歐盟的網路安全水準,但其中一項規定要求公司在尚未完全修復漏洞之前就必須向歐盟網路安全局(ENISA)報告。
這項規定有以下幾個問題:
- 這可能會引起惡意攻擊者的注意,並加速利用未修復的漏洞進行攻擊。
- 這可能會增加未修復漏洞資訊被竊取或濫用的風險,因為該資訊會被傳送給27個歐盟成員國的不同機構。
- 這可能會讓其他國家效仿,例如中國已經實施了一項要求公司向政府報告所有漏洞的法規。
因此,一些安全專家和組織呼籲歐盟修改該法案,並保留負責任的漏洞揭露的原則。他們建議:
- 應該讓公司有足夠的時間修復漏洞,並在修復後才公開揭露。
- 應該確保任何揭露的漏洞資訊都有適當的安全措施,並只在需要知道的基礎上分享。
- 應該禁止政府機構利用揭露的漏洞資訊進行攻擊或間諜活動。
軟體漏洞是不可避免的,但如何處理它們卻是可以選擇的。我們希望歐盟能夠聽取專業意見,並制定一個既能保護消費者又能鼓勵創新的法律框架。
詳情請看:
How EU lawmakers can make mandatory vulnerability disclosure responsible