国产软件可以通过不同层级和类别的漏洞管理和披露机制来提升软件代码的整体安全水平。漏洞库通过收集、分析、通报和修复推进等环节,协同运行,不断升级技术手段和管理机制,以适应网络安全环境的变化。基于多方面综合考虑,我国在安全、发展、管理等多维度需求下进行合理的信息管理和披露,以实现国家网络安全、产业健康发展等多重目标的平衡,不能简单地认为中国不公开国产软件漏洞库。要防止公开的漏洞被恶意利用。过早或大范围公开漏洞可能会被黑客等恶意行为者利用,在厂商修复漏洞的“窗口期”也可能造成大规模的安全事件和损失,特别是涉及关键信息基础设施和重要行业的国产软件。此外还要避免引发公众不必要的恐慌,如果漏洞库完全公开且被过度解读和传播,致使公众对国产软件安全性产生过度担忧和不信任,也将影响产业发展。
不完全公开软件漏洞,也可以保护国内软件产业的健康发展。如果大量国产软件漏洞被公开披露,会在国际竞争中影响其声誉和竞争力,国外客户容易对使用中国软件产生疑虑。还有知识产权和商业秘密,漏洞信息可能关联到软件的一些底层架构设计、算法等商业秘密或知识产权内容,过度公开不利于保护创新。漏洞信息需要经过严格的核实和验证过程,以确保其准确和有效,避免误报等情况的发生,从而误导公众和相关方,漏洞核实和验证的过程需要一定时间和资源。不完全公开漏洞,同时也可以给软件厂商争取到更多的修复时间,让软件厂商有合理的时间进行漏洞分析、修复方案的制定和实施,以提供更为完善的修复版本。此外还要对漏洞库根据不同的敏感程度、影响范围、软件类别等进行分层级、分类别管理和披露,不是简单的“一刀切”式公开。
实际上国产软件有官方漏洞库和平台,国家信息安全漏洞库(CNNVD)、国家工业信息安全漏洞库(CICSVD) 等都在发挥作用,有面向不同主体的信息共享、通报等机制,只不过不是对社会所有层面完全无限制公开。此外还有行业协作和共享,在一些行业内部、安全技术研究机构、软件厂商之间存在一定范围的漏洞信息共享和协作机制,以促进整体安全水平提升。同时,法规推动也在进行中,如《网络产品安全漏洞管理规定》等法规的出台,也对漏洞的发现、报送、处置等流程进行了规范。目前,国产软件漏洞库在多方面协同运行。一方面,有专业的安全研究人员、企业以及白帽子等组织和个人向漏洞库报送漏洞信息。在收集环节,众多技术支撑单位参与其中。在分析层面,对漏洞的类型、严重等级、涉及的国产软件范围等进行深入剖析。以CNNVD发布的报告来看,会统计每年新增漏洞数量、修复情况等。当新漏洞被发现和确认后,会及时向相关软件厂商、安全社区等通报。在修复推进方面,厂商接收到漏洞信息后积极发布更新修复,漏洞库也持续跟踪漏洞修复率等指标。
随着网络安全形势的发展和技术的进步,国产软件漏洞库也在不断升级其技术手段和管理机制,以适应不断变化的网络安全环境和越来越复杂的国产软件体系,努力为国家网络安全保驾护航。信息安全保障人员认证(CISAW)安全软件方向,是中国网络安全审查认证和市场监管大数据中心针对安全软件方向的专业技术人员和中高级管理人员开展的人员认证活动。
CISAW安全软件方向认证,以软件开发实践为基础,主要考察认证申请人员在安全软件开发领域对软件安全开发模型、安全漏洞管理、软件安全功能设计、常见安全问题、安全编码实践、软件安全测试等知识的掌握程度以及运用安全软件开发方法解决实际问题的技术水平能力。
还没有评论,来说两句吧...