久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

美國國家安全局(NSA)公布了有關其漏洞披露政策的一些統(tǒng)計數(shù)據(jù)以及指導原則，但有專家表示他們沒有公布重要的細節(jié)。

網(wǎng)站詳細介紹了NSA的漏洞披露政策，這又引出了這樣一個問題：NSA是否會披露其發(fā)現(xiàn)的漏洞?根據(jù)NSA表示，這個問題的答案在大部分時候是肯定的，因為負責任的披露“顯然符合國家利益”。但NSA也聲稱，披露的決策其實非常困難和復雜。

“對于披露漏洞的決定，既有優(yōu)點又有缺點，并且，在及時披露和在有限時間內(nèi)不公布某些漏洞之間的權衡會帶來顯著的后果，”NSA寫道，“披露漏洞可能意味著我們放棄了機會去收集重要外國情報，而這些情報可能幫助我們阻止恐怖襲擊，防止國家知識財產(chǎn)被盜竊，或者發(fā)現(xiàn)被用來攻擊我們網(wǎng)絡的更危險的漏洞。”

曾在美國國防部和NSA任職、現(xiàn)任Pulse Secure公司戰(zhàn)略高級副總裁David Goldschlag表示，在這件事情上，他贊同NSA的做法。

“雖然我認為應該完全披露漏洞讓供應商可以解決這些問題，但我們需要知道的是，NSA具有雙重使命：收集信息和保護信息，”Goldschlag表示，“有時候，這兩個使命會有所沖突，所以NSA需要制定政策使其能夠完成工作。”NSA稱，從歷史上來看，在91%的情況下，他們發(fā)現(xiàn)的漏洞會經(jīng)過該機構的內(nèi)部審核程序，并披露給供應商。在其余的9%的情況中，漏洞在NSA披露之前就已經(jīng)被供應商修復，或者出于國家安全原因而沒有披露。

專家指出，這一解釋并沒有透露NSA已經(jīng)披露的具體漏洞數(shù)量、披露的時限或者所披露的漏洞的嚴重程度，所以我們沒有辦法知道是否有披露零日漏洞。

然而，Rook Security公司安全運營負責人Tom Gorup表示，NSA公布的百分比數(shù)據(jù)提出了更多問題，而不是回答問題。

“我們不知道NSA正在應對的漏洞數(shù)量或者所涵蓋的時間段，這是5年、10年還是20年的數(shù)量?我們談論的是1000、10000還是100000個漏洞?”Gorup問道，“如果沒有原始數(shù)據(jù)，不可能確定披露的時間(TTD)，并且最終的指標也會受到影響。我希望看到TTD指標，披露漏洞的原始數(shù)量以及這個指標涵蓋哪個時間段。”

Gorup表示，對于私營行業(yè)而言，漏洞存在幾個月或者幾年可能帶來巨大的風險，因此我們應該要求NSA提供更多的透明度。

“我完全理解收集情報的需要，因為這有利于國家安全，”Gorup表示，“我們需要相信我們的政府會做出正確的決定，但我們也必須對基本的過程有某種驗證和了解。我們很難相信其他人沒有或不會發(fā)現(xiàn)未披露的漏洞。”