Adobe效仿微软模式推行安全信息共享

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　在星期三的黑帽大会上，奥多比将宣布效仿微软模式对安全信息进行共享。这样，在发布安全更新之前，它会先与安全公司分享自己软件在安全方面存在弱点的相关信息。

　　微软是在2008年启动主动防御计划(MAPP)的，此后，在发表产品安全更新前，微软就会与安全公司分享相关的漏洞信息，让它们可以及时更新安全产品，并提前防范这些安全漏洞，以保证客户的安全。

　　微软表示，MAPP计划大大降低了安全漏洞的空窗期，在某些情况下，漏洞的存在时间甚至减少了75%以上。奥多比公司产品安全和隐私总监布拉德·阿金在21日告诉CNET，这一成功促使奥多比计划从今年秋天的某个时候开始加入该项目。

　　阿金说，“这让我们可以与微软一起进行协同工作，而不必象以前那样另起炉灶做很多额外的工作。”和微软一样，奥多比将与相同的MAPP合作伙伴分享信息，采用的格式和基础设施也将是完全一致的。

　　与此同时，在这星期，微软也将发布一个工具包，用来使旧版本的Windows和第三方应用程序可以受到为基于Windows计算机设计的专门技术的保护，避免遭遇攻击。这里的专门技术指的是，新版本Windows支持的地址空间随机化(ASLR)和数据执行保护(DEP)。

　　微软安全响应中心主任迈克·雷维宣称，新的增强减灾体验工具可以让旧版本Windows和非Microsoft软件开发者利用到这些技术带来的优势。

　　此外，微软正在促进将安全漏洞方面的处理策略调整为“协调的漏洞披露”，既不再是“负责任的披露”(仅仅通知受影响的软件供应商)，也不是“充分披露”(立即通知所有人)。软件巨人开始鼓励研究人员在漏洞传播开之前与公司进行合作。

　　在经过激烈的公开辩论后，谷歌研究员塔维斯·奥曼迪于6月公开披露了Windows中的一个漏洞，并在微软有机会开发修补程序之前，发布了针对该漏洞的概念验证代码。奥曼迪为他的行动辩护说，只有引起微软的注意才能解决这一问题，并且，其他研究人员也表示了支持。在漏洞被披露的几天后，已经检测到试图针对该漏洞的恶意攻击。

　　在上星期，一篇由奥曼迪等人签署的文章发表在谷歌安全团队的日志上。他们指出，厂商往往利用“负责任”的披露来延缓漏洞的修补。并且表示，对于厂商修补安全漏洞的时间限制来说，60天是一个合理的期限。

　　“我们将邀请其它研究人员加入这一活动，利用提出的披露期限，让安全响应速度变得更快，”谷歌团队呼吁道。“定时修补带来的压力可以让黑客利用漏洞的机会变得更少。我们认为，规则的这一小小调整，可以为全体互联网用户带来更大的安全。”

　　根据这篇日志的说法，微软策略的变化和它以前所提倡的“负责任的”揭露并无多大区别。

　　“对于产品的漏洞修复来说，我并不认为存在一个(适合于所有类型的)固定期限，”雷维告诉CNET。“最重要的一点应该是确保安全更新对于客户是有效的....并承担责任。用户希望供应商和研究人员可以共同努力。”