HackerOne推出免費漏洞協調成熟度模型工具

本文講的是HackerOne推出免費漏洞協調成熟度模型工具，HackerOne是一家提供漏洞披露和漏洞獎勵計劃的企業，它幫助消費者部署嚴格的政策，高效溝通并解決漏洞。作為幫助更多企業獲得漏洞披露并協調資訊的舉措，HackerOne放出了免費的公開标杆分析工具，它被稱為漏洞協調成熟度模型（Vulnerability Coordination Maturity Model，VCMM）。

為了獲得獲得VCMM的更多資訊，媒體采訪了HackerOne公司首席政策官凱蒂·莫索瑞斯（Katie Moussouris）。随着漏洞賞金機制獲得主流媒體的關注，更多企業意識到它們需要部署流程和政策，以控制漏洞溝通和管理的方式。當凱蒂開始深入挖掘現狀時，卻發現很多公司并不知道目前的政策和能力。VCMM工具的目标在于為組織提供能夠衡量現狀的工具，讓它們可以識别并優先考慮需要改進的領域。

托德·比爾茲利（Tod Beardsley）是Rapid7公司的安全研究主管，他解釋稱，在軟體漏洞被揭露之後，人們存在很多迷惑和誤解。“漏洞協調成熟度模型是HackerOne公司的一次重要行動，它可以将公司應對外界不請自來的漏洞報告的基本标準規範化”。

當談到通訊錯誤時，比爾茲利對缺乏标準的問題表達了失望。盡管十多年來已經存在一個指導性的綱要，強調建立标準溝通方法的重要性，現狀依然十分糟糕。比爾茲利說，他經常嘗試向安全通訊的标準位址[email protected]發送郵件，然而在七成的情況下，系統會彈回目标電郵位址不存在的錯誤資訊。

凱蒂·莫索瑞斯在一次媒體釋出會上表示：“不存在對漏洞免疫的軟體。對大多數組織而言，外部白帽子上報安全漏洞并不是一個存在與否的問題，而僅僅在于它什麼時候到來。成熟度模型能夠幫助企業預先準備，在漏洞協調領域裡則能夠提高企業軟體的安全性，協調漏洞披露事件發生時各方的回報。”

VCMM并不是隻有漏洞安全專家才能使用的工具。事實上，這才是重點。比爾茲利稱贊了HackerOne工具，并自信地表示VCMM是在正确方向上邁出的堅實一步：“HackerOne公司對投入的工作是明确而簡潔的，當一個漏洞不期而至地被披露時，所引發的并不應該是恐懼和焦慮。”

原文釋出時間為：十月 7, 2015

本文作者：Venvoo

本文來自雲栖社群合作夥伴安全牛，了解相關資訊可以關注安全牛。