CERT/CC 发布 VINCE 软件漏洞协作平台

上周，SEI的CERT协调中心(CERT/CC)推出了一个新的基于网络的软件漏洞报告和协调平台，称为漏洞信息和协调环境(VINCE)。CERT/CC团队正在取代其20多年的遗留系统，以帮助扩展通信并提高漏洞报告员、协调员和软件供应商之间的直接协作水平。

这种变化不仅仅是一种无形的后端转变。到目前为止，漏洞协调一直依赖于一个中心辐射模型:CERT/CC位于中心，接收和传递来自那些研究和报告软件漏洞的人的PGP加密的电子邮件，并返回给受影响的供应商。VINCE背后的新模型更像是一个共享的通信总线，所有的利益相关者都接入一个基于网络的中央平台，彼此直接对话。

SEI的CERT小组的漏洞分析技术经理Art Manion说，他不希望CERT/CC成为漏洞协调的瓶颈。Manion说:“我们正在摆脱中间人的角色。“通过使用VINCE内置的总线模型，我们试图树立一个协议、礼仪和规范已经改变的榜样。我们希望所有的供应商、研究人员和记者都在同一个房间。每个人都有一个渠道，可以一起工作。”

对于每个新的漏洞，CERT/CC都会创建一个VINCE案例讨论，这是一个私人留言板论坛，具有标记其他参与者、上传文件和发送CERT/CC私人消息的功能。CERT/CC随后邀请与该漏洞相关的记者、研究人员和供应商加入案例讨论。为了参与，利益相关者必须有一个VINCE帐户，他们可以要求CERT/CC将他们添加到案例讨论中。CERT/CC将继续协调和调节每个案例，但是利益相关者可以在漏洞公开披露之前和之后直接相互合作。

在事故响应和安全团队论坛(FIRST)发布其多方漏洞协调和披露指南和实践几周后，新平台首次亮相。第一准则旨在向软件漏洞涉及的各方开放安全研究人员和软件供应商之间的双边通信。VINCE平台恰好创建了支持围绕漏洞的多方通信所需的公共空间。

一年前，CERT部门的应用程序开发人员和VINCE的主要开发人员Emily Sarneso被要求更新CERT/CC的漏洞报告系统时，并没有这个意图。“我们一点一点地替换每一个，然后我们意识到我们做这件事的方式需要被替换，整个中心辐射式的想法，”她说。“我们问，‘为什么我们不把每个人聚集在一起，这样我们就不仅仅是把所有这些信息传递给有时超过200个不同组织的中间人了？’”

Sarneso说，当她和Manion在今年的RSA会议上向供应商提出这个想法时，他们感到惶恐不安。“因为我们已经用一种方法做了这么久，”Sarneso说，“我们真的在改变人们对一个新的漏洞披露过程的想法。”他们解释了作为记者、研究人员和2300多名软件开发人员和供应商的中间人是如何无法扩展的。管理电子邮件加密的PGP密钥、更新供应商联系信息、协调大量电子邮件以及解决供应商披露政策冲突是一场耗时的噩梦。

有了VINCE，电子邮件让位于更安全的网络平台，CERT/CC的工作人员希望花更多的时间直接协调复杂的案例，分析漏洞，并研究标准，如CVE和CVSS。利益相关者可以更新他们自己的联系信息，协作环境将信息整合到一个共享的空间，并培养信任和善意。

本着更加开放的交流精神，CERT/CC计划使VINCE成为一个带有应用编程接口的开放源代码下载，这样组织就可以将其信息引入他们自己的漏洞跟踪系统。“我们觉得VINCE最大的贡献可能是为不同的组织创建了这种共享语言来讨论漏洞和漏洞披露，”Sarneso说。

VINCE现已在www.kb.cert.org/vince. 上线。尽管CERT/CC电子邮件仍将保持活跃，Manion和Sarneso鼓励软件供应商和网络安全研究人员创建一个VINCE帐户，而不仅仅是针对漏洞进行协调，而是真正的合作。

Manion将VINCE视为SEI使命的一部分，作为一个联邦资助的研发中心，将能力转移到自身之外。“发现、修复、修补和防御漏洞——我们正努力帮助其他人更快、更好、更容易地做到这一点。”Manion说，“总体任务是一样的:降低风险。这只是一种更好、更现代的方式。”