10.1 漏洞披露和响应 PSIRT

如前所述，SSDF 呼吁各组织实施合理的实践，以帮助实现安全的软件开发。它将这些实践分为四组：组织准备、保护软件、生产安全可靠的软件和应对漏洞。这四组中的一个关键主题是组织和供应商披露和应对影响消费者的漏洞的能力。这一点在一些方面得到了强调，例如制定政策来处理漏洞披露和修复活动。制定这些政策和流程可为软件供应商带来若干重要益处，例如能够向研究人员通报其漏洞管理实践，并向供应商报告他们可能发现的潜在漏洞。

长期从事网络安全或软件开发工作的人都知道，漏洞不是会不会出现的问题，而是何时出现的问题。因此，企业在向软件消费者披露漏洞时，关键是要有成文的安全响应流程和成熟的能力。传统的做法是通过网站、电子邮件和 PDF 文档等静态通知措施进行披露。然而，正如我们在本文其他部分所讨论的，该行业目前正朝着机器可读自动通知公告的方向发展。这主要体现在通用安全咨询框架（CSAF）和漏洞可利用性交换（VEX）等途径上，许多人认为 VEX 是 SBOM 的配套文件，它将显示与供应商的软件和产品相关的漏洞的实际可利用性。CSAF 的目标是让利益相关者自动创建和使用安全漏洞信息，并努力支持 VEX，尽管截至本文撰写之时，该功能仍在不断成熟。另一个值得注意的例子是 CycloneDX，这是我们讨论过的业界领先的 SBOM 格式，它也有一个被称为 "漏洞清单 "的东西（https://cyclonedx .org/capabilities/bov），允许在系统和漏洞情报来源之间共享漏洞数据。

CSAF 和 VEX 等方法和标准的出现表明，行业正不断从传统的静态漏洞咨询和通知流程向机器可读性和自动化流程转变，从而提高流程效率，减少出错率，并最终提高可扩展性。

制定漏洞披露计划（VDP）是软件供应商成熟的标志，可以建立与消费者之间的信任，同时使他们有能力了解正在发生的漏洞和事件，并采取补救措施，在被恶意行为者利用之前解决其环境中与产品相关的漏洞。在某些行业（如美国联邦部门），第三方软件供应商自我证明符合 SSDF 实践（如存在 VDP）也成为一项要求。

如果 VDP 能够及时响应安全研究人员的要求，并与消费者进行公开有效的沟通，就能建立起消费者的信任，并有助于降低供应商可能面临的财务风险，如不良行为的监管后果或声誉损害。虽然您可能会发现自己处于软件供应商的地位，但不可避免的现实是，您也可能是软件消费者，或者在向自己的下游消费者提供软件和产品时，在某种程度上使用第三方。这意味着您需要采取措施了解自己的供应链和供应商采取的安全措施。这可能会以证明和审查软件中使用的第三方软件组件的形式出现。如果是专有供应商，您可以使用合同措施来执行贵组织或下游消费者所要求的严格程度。如果组件是使用开放源码软件提供的，则需要实施开放源码软件治理，正如我们在其他地方讨论过的以及 NIST 等领导机构所建议的那样。如果做不到这一点，就会给下游消费者带来风险，并可能带来业务挑战，因为精明的消费者不可避免地会对传递给他们的不安全软件进行反击，他们会寻求了解贵公司的安全软件开发实践，或要求提供可能暴露产品或应用程序中风险的 SBOM 等工件。