執筆者:Haotian
実際には、「白帽」の職業倫理や中央集権型取引所の脆弱性情報開示メカニズムやバグ報奨メカニズムについて、明確な法的責任の定性化がなされるまで、異なる視点から疑問が呈じられるだろう。しかし、セキュリティー業界では、この問題は全く「新しい」ものではありません。
1)適切な脆弱性開示メカニズムは、セキュリティ企業(乙方)とクライアント(甲方)が脆弱性の発見、修復、報酬などの問題について調整するプロセスであり、その後で脆弱性の修復が行われ、皆が喜ぶことである。明らかに、CertikとKrakenでは調整プロセスに問題が発生しています:
1、バグを発見し、顧客にタイプと被害の程度、再現方法を報告する。もし「ホワイトハッカー」がバグを公開しない場合、その行為はハッカーのものとなります。一方で、顧客に情報を提供することを選択した場合、それは攻撃意図がないことを意味します。
2、バグを確認し、リスクを評価し、セキュリティ会社と顧客が存在するバグ、バグの深刻度、影響範囲、修正計画の設計などを確認します。このプロセスでは、バグ修正の分業協力、バグ報酬の策定などが合意されます。さもないと、顧客が報告済みのバグを理由に報酬を支払わないことがあり、ホワイトハットが無駄な努力をする可能性があります。
3、修復プランを策定し、再テストして脆弱性が正常に修復されていることを確認します。通常、このプロセスは顧客の開発チームとセキュリティ企業の技術者が共同で修正コードを合意し、統一して実装します。通常、この段階に進むことができると、両者は「脆弱性の危険度と対処すべき脆弱性報酬」について合意しているため、両者の合意目標は脆弱性を迅速に修復することです。その後、ニュースリリースを発表し、脆弱性を公開し、脆弱性の発見と修復のプロセスを公開します。
2)Certikというセキュリティ企業が評判が良いのか悪いのかは道徳的な批判ではうまく判断できない。ただ、もしセキュリティ企業がしばしばトラブルを引き起こす場合、それは複雑な利益関係に関連していて、適切に処理されていない可能性があります。01928374656574839201
私はいくつかのセキュリティ会社の友人と話し合いましたが、この問題のプロセスはおそらく次のようなものだと考えられます:
1、Certik は実際に欠陥を発見して Kraken に報告しましたが、起こした動きは「ハッカー」行為ではないことを示しています。しかし、現在まで発酵しており、セキュリティ業界の大きな不祥事となっています。その背後にある前後関係を明確にする必要があります。
3.双方は報酬とバグ修正の役割分担について合意に至っていない可能性があります。したがって、Kraken取引所は報酬を拒否した理由でバグが報告された場合、Certikは修正中に「個人的な」報復や企業の意図的な行動としてより大規模な「テスト」を行った可能性があります。
このプロセスには複数のたれ皮の可能性がありますが、本質的には利益の問題であり、Kraken 中央集権型取引所の欠陥の開示は非効率で透明性に欠け、Certikのセキュリティ欠陥の介入度は規範や標準が不足しています。
要約:上記は合理的な推測にすぎず、具体的な結果の開示に従う必要がありますが、セキュリティホワイトハットがバグを提出する際に第三者中心の組織から受ける「遅い対応」と、脆弱性の開示および修正プロセスにおける中心化組織の不透明な手続きの問題こそが両者の「紛争と摩擦」の鍵である。これが皆が注目すべき焦点の問題です。
これも@GoPlusSecurityの構築したオープンで、必要なし、ユーザー駆動型のモジュール化されたセキュリティレイヤーを賞賛する前に述べた根本的な理由であり、純粋中央集権的なセキュリティ紛争にはさまざまな不透明な可能性が存在しています。そして、分散化されたセキュリティサービスソリューションが全体的なセキュリティ防御ライフサイクルで機能する必要があります(特に人為的要因によるコントロール不能な要因)。この道は困難で長いですが、必ずやるべきです。
過去数年間には、セキュリティ監査サービスは、ビジネスパートナーシップモデルに基づいたオーダーの受け渡しになってきました。このプロセスでは、背任の風波、監査後のRugスキャンダル、そして今日の甲乙間の対立は、セキュリティサービスの情報の透明性の欠如と、監査業務自体の情報の機密の複雑さに起因しています。問題の露出に伴い、セキュリティ業界はより規範的な基準、最適化されたプロセス、より専門的なサービスを追求していくことを望んでいます。
いかなる場合でも、一部のセキュリティ企業の地位は置き換えられるかもしれませんが、セキュリティガーディアンの神聖なイメージは崩れることはありません。同時に、セキュリティホワイトハットの貢献も市場から尊重されるべきです。
176.15K 人気度
67.5K 人気度
13.73K 人気度
49.83M 人気度
1.74M 人気度
Certik-Krakenの論争から見る業界の痛点:分散化のセキュリティソリューションはいつ登場するのか?
執筆者:Haotian
実際には、「白帽」の職業倫理や中央集権型取引所の脆弱性情報開示メカニズムやバグ報奨メカニズムについて、明確な法的責任の定性化がなされるまで、異なる視点から疑問が呈じられるだろう。しかし、セキュリティー業界では、この問題は全く「新しい」ものではありません。
1)適切な脆弱性開示メカニズムは、セキュリティ企業(乙方)とクライアント(甲方)が脆弱性の発見、修復、報酬などの問題について調整するプロセスであり、その後で脆弱性の修復が行われ、皆が喜ぶことである。明らかに、CertikとKrakenでは調整プロセスに問題が発生しています:
1、バグを発見し、顧客にタイプと被害の程度、再現方法を報告する。もし「ホワイトハッカー」がバグを公開しない場合、その行為はハッカーのものとなります。一方で、顧客に情報を提供することを選択した場合、それは攻撃意図がないことを意味します。
2、バグを確認し、リスクを評価し、セキュリティ会社と顧客が存在するバグ、バグの深刻度、影響範囲、修正計画の設計などを確認します。このプロセスでは、バグ修正の分業協力、バグ報酬の策定などが合意されます。さもないと、顧客が報告済みのバグを理由に報酬を支払わないことがあり、ホワイトハットが無駄な努力をする可能性があります。
3、修復プランを策定し、再テストして脆弱性が正常に修復されていることを確認します。通常、このプロセスは顧客の開発チームとセキュリティ企業の技術者が共同で修正コードを合意し、統一して実装します。通常、この段階に進むことができると、両者は「脆弱性の危険度と対処すべき脆弱性報酬」について合意しているため、両者の合意目標は脆弱性を迅速に修復することです。その後、ニュースリリースを発表し、脆弱性を公開し、脆弱性の発見と修復のプロセスを公開します。
2)Certikというセキュリティ企業が評判が良いのか悪いのかは道徳的な批判ではうまく判断できない。ただ、もしセキュリティ企業がしばしばトラブルを引き起こす場合、それは複雑な利益関係に関連していて、適切に処理されていない可能性があります。01928374656574839201
私はいくつかのセキュリティ会社の友人と話し合いましたが、この問題のプロセスはおそらく次のようなものだと考えられます:
1、Certik は実際に欠陥を発見して Kraken に報告しましたが、起こした動きは「ハッカー」行為ではないことを示しています。しかし、現在まで発酵しており、セキュリティ業界の大きな不祥事となっています。その背後にある前後関係を明確にする必要があります。
3.双方は報酬とバグ修正の役割分担について合意に至っていない可能性があります。したがって、Kraken取引所は報酬を拒否した理由でバグが報告された場合、Certikは修正中に「個人的な」報復や企業の意図的な行動としてより大規模な「テスト」を行った可能性があります。
このプロセスには複数のたれ皮の可能性がありますが、本質的には利益の問題であり、Kraken 中央集権型取引所の欠陥の開示は非効率で透明性に欠け、Certikのセキュリティ欠陥の介入度は規範や標準が不足しています。
要約:上記は合理的な推測にすぎず、具体的な結果の開示に従う必要がありますが、セキュリティホワイトハットがバグを提出する際に第三者中心の組織から受ける「遅い対応」と、脆弱性の開示および修正プロセスにおける中心化組織の不透明な手続きの問題こそが両者の「紛争と摩擦」の鍵である。これが皆が注目すべき焦点の問題です。
これも@GoPlusSecurityの構築したオープンで、必要なし、ユーザー駆動型のモジュール化されたセキュリティレイヤーを賞賛する前に述べた根本的な理由であり、純粋中央集権的なセキュリティ紛争にはさまざまな不透明な可能性が存在しています。そして、分散化されたセキュリティサービスソリューションが全体的なセキュリティ防御ライフサイクルで機能する必要があります(特に人為的要因によるコントロール不能な要因)。この道は困難で長いですが、必ずやるべきです。
過去数年間には、セキュリティ監査サービスは、ビジネスパートナーシップモデルに基づいたオーダーの受け渡しになってきました。このプロセスでは、背任の風波、監査後のRugスキャンダル、そして今日の甲乙間の対立は、セキュリティサービスの情報の透明性の欠如と、監査業務自体の情報の機密の複雑さに起因しています。問題の露出に伴い、セキュリティ業界はより規範的な基準、最適化されたプロセス、より専門的なサービスを追求していくことを望んでいます。
いかなる場合でも、一部のセキュリティ企業の地位は置き換えられるかもしれませんが、セキュリティガーディアンの神聖なイメージは崩れることはありません。同時に、セキュリティホワイトハットの貢献も市場から尊重されるべきです。