HackerOne推出免费漏洞协调成熟度模型工具

本文讲的是HackerOne推出免费漏洞协调成熟度模型工具，HackerOne是一家提供漏洞披露和漏洞奖励计划的企业，它帮助消费者部署严格的策略，高效沟通并解决漏洞。作为帮助更多企业获得漏洞披露并协调信息的举措，HackerOne放出了免费的公开标杆分析工具，它被称为漏洞协调成熟度模型（Vulnerability Coordination Maturity Model，VCMM）。

为了获得获得VCMM的更多信息，媒体采访了HackerOne公司首席策略官凯蒂·莫索瑞斯（Katie Moussouris）。随着漏洞赏金机制获得主流媒体的关注，更多企业意识到它们需要部署流程和策略，以控制漏洞沟通和管理的方式。当凯蒂开始深入挖掘现状时，却发现很多公司并不知道目前的策略和能力。VCMM工具的目标在于为组织提供能够衡量现状的工具，让它们可以识别并优先考虑需要改进的领域。

托德·比尔兹利（Tod Beardsley）是Rapid7公司的安全研究主管，他解释称，在软件漏洞被揭露之后，人们存在很多迷惑和误解。“漏洞协调成熟度模型是HackerOne公司的一次重要行动，它可以将公司应对外界不请自来的漏洞报告的基本标准规范化”。

当谈到通讯错误时，比尔兹利对缺乏标准的问题表达了失望。尽管十多年来已经存在一个指导性的纲要，强调建立标准沟通方法的重要性，现状依然十分糟糕。比尔兹利说，他经常尝试向安全通讯的标准地址security@vendor-name.com发送邮件，然而在七成的情况下，系统会弹回目标电邮地址不存在的错误信息。

凯蒂·莫索瑞斯在一次媒体发布会上表示：“不存在对漏洞免疫的软件。对大多数组织而言，外部白帽子上报安全漏洞并不是一个存在与否的问题，而仅仅在于它什么时候到来。成熟度模型能够帮助企业预先准备，在漏洞协调领域里则能够提高企业软件的安全性，协调漏洞披露事件发生时各方的反馈。”

VCMM并不是只有漏洞安全专家才能使用的工具。事实上，这才是重点。比尔兹利称赞了HackerOne工具，并自信地表示VCMM是在正确方向上迈出的坚实一步：“HackerOne公司对投入的工作是明确而简洁的，当一个漏洞不期而至地被披露时，所引发的并不应该是恐惧和焦虑。”

原文发布时间为：十月 7, 2015
本文作者：Venvoo
本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛。
原文链接：http://www.aqniu.com/industry/10582.html