网络产品安全漏洞披露冷知识--美国NSA主导的VEP-《漏洞公平裁决政策和程序》的是是非非

来源：网空闲话 时间：2021-12-27 阅读次数：

2017年11月15日，美国白宫发布《漏洞公平裁决政策和程序》，其旨在为漏洞公平裁决程序(Vulnerabilities Equities Process，VEP)勾勒更多规则性和透明度。包括目的、 背景、范围、参与主体、裁决过程和相关附件(包括术语解释和考量因素)等六部分内容。这个政策的主导机构早期应该是国家安全机构和情报机构，主要是NSA。

这个VEP，即漏洞公平裁决程序就是美国政府在处理安全漏洞问题时所引入的一项裁决机制。当发现漏洞时，是选择将发现的漏洞向科技公司披露 , 告知其产品或服务中存在的网络安全漏洞以便开发者及时开发补丁进行修复从而避免出现不必要的更大危害，还是选择将漏洞信息进行保留，以便用来在今后实施黑客入侵或者达到便利情报搜集、军事活动抑或执法活动等方面的目的。

该制度是要增加更多的透明度与规则。制度明确指出，安全漏洞管理需要得到高度重视，从而保护民众、捍卫关键信息基础设施并维护重要的商业与国家安全利益。新的VEP章程将以一种可重复且可讨论的方式平衡相关利益，确保我们在执行这一重要任务时，加强美国民众对政府问题解决能力的信心。

但是完全透明是不现实的，必须得有例外情形。

时任白宫网络安全协调员Rob Joyce（罗伯·乔伊斯）当时在阿斯本研究院召开的一轮会议中，对特朗普自今年1月就任美国总统以来该公平裁决程序的发展情况作出了更为深入的说明。Joyce指出，这份耗时数月敲定的章程在草拟过程中经过了“复杂的对话”。Joyce解释称，在此之前，机构之间的讨论信息“被剥夺了行政权利”，即“关于进入决策流程的具体细节”并没有被提供给需要的各讨论参与方。

乔伊斯目前是NSA下设的网络安全董事会的老大。详细参见下文。

Joyce当时解释称，这份章程还将涵盖政府方面从私营部门雇用黑客人士以解决零日漏洞的问题。他们也将加入VEP中。当各政府机构以“非排他性”方式购买这些零日漏洞信息时，意味着其需要遵循合同条款而不能合法地进行信息披露——“需要告知每位VEP成员这一例外要求……并将所有细节信息提供给白宫网络安全协调员。

Joyce指出，“这样我们将得到一套在现有系统中从未出现过的框架与一系列洞察结论”，意味着各政府机构将能够直接表达无法披露安全漏洞信息的具体原因。他补充称，在这份新章程内，不鼓励各部门与机构使用此类合同，而应实现与各商业实体间合作关系的结构化转型，以便在购买相关信息后，根据实际需求选择是否进行披露。

即使是这样一个改进后的VEP制度，在2017年底推出的时候也受到广泛的质疑。主要有四个方面，1.VEP 缺乏法律的强力保障。2.VEP 受保密协议等的限制。3.VEP 缺失漏洞的风险评估。4.VEP 裁决主体仍相对有限。核心的就是说，搞了半天NSA等国家情报机构仍然会不受约束，只有它说了算，它想不想披露，披露一般的还是严重的，裁量权很大。

事实情况如何呢？

美国国家安全局的网络安全协作中心利用行业合作伙伴的力量，预防和消除外国网络对国家安全系统(NSS)、国防部和国防工业基地(DIB)的威胁。这个与私营部门合作的开创性中心旨在为国家安全局及其合作伙伴之间的信息共享创造一个环境，结合中心各自的专业知识、技术和能力，以保护国家最关键的网络。这些合作关系利用了政府和行业的独特优势，代表了整个国家的网络安全方法的重要组成部分。

当然，NSA也不忘记宣传漏洞披露的价值。12月6日网络安全协作中发布了一段视频，透露NSA如何挖掘漏洞以及如何决策披露漏洞。

视频地址如下：

https://www.youtube.com/watch?v=Ru2czTiik9I&list=PLWvkfYC3snpXbCdzNHpeA2EME7z-S9wDv&index=3

自2017年VEP修订以来，学者、记者和前政府官员一直警告VEP的局限性、漏洞和监督的必要性。

四年又过去了，VEP的争论依然存在。而2021年的一些重大网络安全事件的发生，让这个话题重回学术界。本来，当美国政府发现信息系统中可利用的弱点或漏洞时，VEP将指导决策过程。政府在此过程中决定是否披露其发现的安全漏洞或为国家安全、情报或执法目的保密漏洞。根据章程，VEP提供了一种跨机构机制，旨在平衡“是将漏洞信息传播给供应商/供应商以期望它会得到修补，还是暂时将漏洞的知识限制给USG，以及潜在的其他合作伙伴，以便其可用于国家安全和执法目的，例如情报收集、军事行动和/或反情报。尽管有这些警告，VEP仍然是一项处于阴影中的政策。然而，最近发生的一系列事件为对这一鲜为人知但影响深远的政策进行实质性审查和有意义的改革创造了机会之窗。比如Kaseya、Colonial Pipeline、SolarWinds和Microsoft Exchange攻击的后果。

再有此次log4j2相关漏洞的披露及响应，到底是谁先披露了POC？仍然是一个谜。阿里云安全团队是第一个向Apache开源社区分享Bug的，但是它未必就是第一个发现这个bug的。

再不要说中国如何如何，阿里云被主管部门轻轻地敲打一下，就如何打击漏洞研究了，如何影响人才发展了，如何影响安全生态了。那被老外们广为引用的POC来源，疑是某个中国人，是不是好好调查一下。分享程序BUG是业界惯例，公布POC应该不是吧。公安部门是不是得出面了出手了。

披露漏洞这个事情就是一个力量博弈，那不是一个单纯的技术问题，是需要讲究斗争艺术的。

无论VEP怎么公开、公正、透明，无论是国际VEP，还是某国VEP。在国家安全问题面前，都得让路。

 

 

原文来源：网空闲话

“投稿联系方式：孙中豪 010-82992251   sunzhonghao@cert.org.cn”