HackerOne 放弃现有漏洞分类评级规则,转向行业通用标准

本文讲的是HackerOne 放弃现有漏洞分类评级规则,转向行业通用标准

近日,HackerOne官方发布公告,称已放弃使用平台现有的漏洞分类评级标准,转向使用CWE(Common Weakness Enumeration,常见缺陷枚举)标准。

作为全球知名的漏洞协作和悬赏平台,HackerOne创建已有五年。这家公司在13年发起互联网漏洞赏金计划,开始使用自己定义的18种漏洞类型的分类规则。

新旧标准对比(左侧为旧标准)

CWE是由安全社区MITER推出的常见软件安全漏洞列表,是业内相互沟通漏洞信息的通用标准之一。大家看着可能觉得眼生?CVE漏洞编号熟吧,CVE的运营组织就是MITER,分类标准则是CWE。

HackerOne在公告中解释,采用CWE漏洞分类标准,可以对漏洞进行更完整和准确的描述,有效提高平台上企业、白帽子的沟通效率,并且HackerOne也能借此参与减轻/消除漏洞危害的行业讨论当中。

这只是HackerOne和传统安全标准接轨的一小部分。去年10月,HackerOne还曾上线CVSS计算工具,在漏洞影响评级上正式支持历史悠久的CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)标准。白帽子们使用工具,可以根据CVSS标准给自己的漏洞评估严重程度。

CVSS标准由安全组织FIRST管理。这个组织来头也很大,其主要成员是各国CERT和Google、Amazon、Apple等行业巨头,国内仅有华为、中兴两家是企业成员。CVSS是FIRST内部推行的漏洞评级标准,同时也开放给外部使用。

某种程度上,HackerOne向CWE、CVSS等行业通用标准靠拢,意味着它开始融入传统安全生态,变成其中的一环。五年前,行业内尚没有“安全众测”的概念,由HackerOne、BugCrowd、WooYun等公司创建和推动的这一模式,创造性地将攻防两方以一种良性关系结合起来,让企业能更早一步发现并规避风险。数年来,Adobe、Yahoo!、Uber、通用汽车等行业巨头先后入驻HackerOne,推出漏洞赏金计划。最令人意外的是,连美国国防部也加入其中发布众测需求,并且收获了不少高危风险反馈。

在国内,目前有360补天、漏洞盒子、Sobug三家进行漏洞通报或悬赏业务。这三家的漏洞分类评级规则是怎样的?嘶吼也去看了下:

360补天:漏洞类型有10种,影响等级有三档,具体规则为内部制定。
漏洞盒子:漏洞类型为内部制定,影响等级为CVSS标准。
Sobug:漏洞类型和影响等级均为站方制定。

可以看到,上述三家中只有一家的漏洞评级用了国际标准,其它均为内部制定。这可能与国内企业的安全团队较少与国际对话合作有关,企业内部没有相关要求,漏洞平台也很难有动力去迎合国际标准。

原文发布时间为:2017年3月20日

本文作者:longye

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-09-17 03:32:20

HackerOne 放弃现有漏洞分类评级规则,转向行业通用标准的相关文章

专访 HackerOne COO 王宁:尊重规则是漏洞平台成功的秘诀,欢迎更多成人网站进驻 | 宅客

   本文作者史中,雷锋网主笔.关注网络安全,希望用简单地语言解释科技的一切. HackerOne是美国著名的漏洞众测公司,它最早开创了一种模式:汇集众多的黑客,一起为企业找漏洞. 目前,全球致命的互联网公司 Yahoo.Twitter.Adobe.Uber.facebook 等都会在 HackerOne 上发布漏洞奖励计划,欢迎白帽子(致力于网络安全的黑客)们测试自己的网络安全. HackerOne 的商业模式,在全世界得到了推广,中国的众多漏洞平台也依靠这种方法吸引到了众多喜爱网络安全技术的

证监会公布2013年证券公司分类评级结果

摘要: <投资者报>记者 薛玉敏 标普将欧美等国家或者地区信用评级减个"+"号,全球资本市场都要跟着颤抖.中国证监会每年也对证券公司进行评级,其冲击虽然不像上述评级有飓风般的 <投资者报>记者 薛玉敏 标普将欧美等国家或者地区信用评级减个"+"号,全球资本市场都要跟着颤抖.中国证监会每年也对证券公司进行评级,其冲击虽然不像上述评级有飓风般的力量,但是对于证券公司本身却有着切肤的疼痛. 7月12日,证监会公布了2013年证券公司分类评级结果,与

新款网正式放弃互联网电子商务咨讯,转向电商导购模式

摘要: 新款网转型改版,首页分类出女装.鞋包.数码.百货.母婴.美妆等导购商品,每个商品页链接到淘宝等电商平台,这种模式与美丽说等导购网站基本类同.新款网是追梦人网络科技 新款网转型改版,首页分类出女装.鞋包.数码.百货.母婴.美妆等导购商品,每个商品页链接到淘宝等电商平台,这种模式与美丽说等导购网站基本类同.新款网是追梦人网络科技公司开发的新型导购平台,接下来科技电子商务小编为您介绍详细情况. 新款网整合了以红色调做为网站的主色调,力图打造一个以女性群为主的综合性导购平台. 改版后的新款网,与

HackerOne推出免费漏洞协调成熟度模型工具

本文讲的是HackerOne推出免费漏洞协调成熟度模型工具,HackerOne是一家提供漏洞披露和漏洞奖励计划的企业,它帮助消费者部署严格的策略,高效沟通并解决漏洞.作为帮助更多企业获得漏洞披露并协调信息的举措,HackerOne放出了免费的公开标杆分析工具,它被称为漏洞协调成熟度模型(Vulnerability Coordination Maturity Model,VCMM). 为了获得获得VCMM的更多信息,媒体采访了HackerOne公司首席策略官凯蒂·莫索瑞斯(Katie Mousso

张三说事:导航收录潜规则凸显行业自律

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 互联网的迅猛发展,各类网站让互联网呈现出五彩缤纷的一派繁华.而这个时候以导航类的网站也应势而生,以hao123的兴起为例,形形色色的导航类网站犹如春笋,顷刻间让互联网的秩序大大改善,网民了解互联网也更加方便快捷,人性化的理念也渐渐融入了互联网. 张三猜测,当初hao123建立初衷是为了"便民",为了维护秩序,犹如指路牌.方

计算机网络系统安全漏洞分类研究_网络冲浪

写本文的目地是为了总结一些东西,解决在试图构造一个漏洞数据库的过程中碰到的主要问题,也就是如何对计算机网络漏洞进行分类的问题.文中的一些想法并不成熟,有些甚至连自己也不满意,权作抛砖引玉,以期与在这方面有深入研究的同仁交流,共同提高完善.一个计算机网络安全漏洞有它多方面的属性,我认为主要可以用以下几个方面来概括:漏洞可能造成的直接威胁,漏洞的成因,漏洞的严重性,漏洞被利用的方式.以下的讨论将回绕这几个方面对漏洞细分其类.A.按漏洞可能对系统造成的直接威胁 可以大致分成以下几类,事实上一个系统漏洞

Oracle现使用CVSS 3.0对漏洞进行评级

Oracle今年4月关键补丁更新(Critical Patch Update)涉及多款产品中的136个漏洞,其中最大的变化是切换到通用安全漏洞评分系统3.0版本或者说CVSSv3,该版本可更准确反映漏洞带来的影响. Oracle公司在其补丁公告中指出,这个关键补丁更新中的漏洞同时使用3.0和2.0版本的通用安全漏洞评分系统来评分,但未来CPU和安全警报将仅使用CVSS 3.0评分. Tripwire公司漏洞和披露研究小组(VERT)经理Tyler Reguly表示,转到CVSS 3.0可能是本月

酷易搜分类信息网已步入行业五强

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 9月22日江苏互联网站长大会在徐州云泉山庄顺利召开,吸引了许多国内知名站长以及业内精英,近500人参加了本次回会议. 本次大会由A5主办,主题为"合作开放,共赢未来",各知名站长作为嘉宾,由酷易搜网CEO潘军主持,对现下比较时兴的话题提出自己的意见,并就话题展开热烈的讨论.本次大会安排了三场圆桌会议,酷易搜网CEO潘军主持

爱打破规则的黑客需要遵守什么规则? | 专访漏洞盒子曾裕智

  世界上的许多冲突,归根结底就四个字:认知差异.打个比方: 小张他女朋友说该换裙子了,小张以为她嫌天气太热,而女友想的却是"又该买新裙子了". 面对同一个事情,认知的不同导致了角度.观点的不对称,由此引发冲突.这种认知差异的怪圈,存在于每个人的身上,哪怕是看起来无所不能的黑客也无法逃脱.而且,当认知差异发生在黑客身上,事情变得更加有趣. 安全众测平台漏洞盒子的负责人曾裕智向雷锋网讲述了他看到的,黑客遭遇的认知差异. 认知差异一:漏洞还是 BUG? 程序员通常喜欢把程序出现的所有问题统