9月14日,美国大西洋理事会的数字法医研究实验室(DFRLab)发布报告《龙尾:国际网络安全防护研究》,评估我国网络安全法规对漏洞披露的影响。
报告以苹果、微软、Redhat、VMware和F5的漏洞披露数据为依据,分析了《网络产品安全漏洞管理规定》(RMSV)发布前后,我国网络安全相关组织(含企业、大学、研究机构)向上述5个机构披露的漏洞数量变化,涉及组织包括奇虎360、奇安信、浙大、启明星辰、腾讯、百度、绿盟、蚂蚁集团、华为、清华大学、昆仑实验室、台湾交通大学、香港大学等。
组织名称 | RMSV规定发布前 | RMSV规定发布后 | 减少 |
奇虎360 | 691 | 11 | 680 |
腾讯 | 190 | 11 | 179 |
百度 | 30 | 3 | 27 |
阿里巴巴 | 25 | 5 | 20 |
规定前后,中国公司向Microsoft贡献漏洞数量统计
组织名称 | 2017年4月前 | 2017年4月后 | 减少 |
奇虎360 | 115 | 22 | 93 |
浙江大学 | 0 | 21 | -21 |
启明星辰 | 0 | 19 | -19 |
腾讯 | 3 | 16 | -13 |
绿盟科技 | 0 | 12 | -12 |
蚂蚁集团 | 0 | 11 | -11 |
SQLab台湾交通大学 | 0 | 11 | -11 |
华为 | 15 | 10 | 5 |
奇安信科技集团 | 0 | 10 | -10 |
昆仑实验室 | 0 | 6 | -6 |
香港大学 | 0 | 6 | -6 |
清华大学 | 0 | 5 | -5 |
2017年前后,中国公司向Redhat贡献漏洞数量统计报告称,各国的网安研究人员、黑客和漏洞搜寻者对全球网络安全贡献巨大,尤以美中为甚。近10年来,中国的企业研究团队和独立研究人员一直主导大型黑客竞赛和企业奖励计划,从浏览器、移动操作系统到网络设备。然而,这种主导地位在2018年突然中断,《网络产品安全漏洞管理规定》(RMSV)于2021年9月发布。2021年11月下旬,阿里巴巴的一名研究员在 Log4j 上发现了一个严重漏洞,并私下向美国的Apache软件基金会(ASF)披露,之后阿里巴巴被中国工信部处罚。6797569.png)
全球漏洞贡献数量与比例
经过数据对比分析,该报告得出结论:国家法规确实在某些情况下影响了漏洞的披露,但其影响并不像预期的那样大。报告结论是否正确本智库不做评价,亦不代表本智库观点,但其中数据值得我们参考借鉴。现分享报告原文与中文机翻版本,请大家在阅读中辨证看待文中观点。报告目录如下:执行摘要
1. 引言
1.1社区影响,而非国家意志
1.2 协调漏洞披露:大局
2. 制定漏洞披露法律
2.1 《网络产品安全漏洞管理规定》
2.2战略环境
3. 《网络产品安全漏洞管理规定》的影响
3.1研究方法
3.2有关资料
3.3研究结果
3.3.1微软
3.3.2红帽
3.4产品类别分类
3.5按公司划分:微软
3.6按公司划分:Red Hat
4. 讨论
5. 结论和建议
《龙尾:国际网络安全防护研究》原文 下载 和机翻版本 下载
