本APNIC文摘原標題為APNIC launches vulnerability reporting program,由APNIC網路安全專員Jamie Gillespie撰文。
APNIC今年8月正式啟動「弱點通報計畫」,若安全研究人員發現APNIC轄下服務的漏洞或弱點,可依循本計畫提供的指導原則進行通報。
過去APNIC也一直都歡迎大家通報可能的安全事件,但新計畫不僅提供可直接連絡APNIC「電腦安全事件回應小組」(Computer Security Incident Response Team,CSIRT)的電子郵件信箱,也說明通報中應提出何種細節更有幫助,並解釋哪些問題會被判定為「符合測試範圍」,哪些則會被認為「不在測試範圍內」。
安全研究人員發現企業系統或服務中的弱點,即使是基於善意的提醒或通報,有時也會面臨企業不領情、甚至反告通報者的狀況。為了避免類似案例導致安全人員畏首畏尾,APNIC更進一步在計畫中納入一則「安全港」聲明。聲明中向安全研究人員保證,只要符合弱點通報計畫的原則,他們進行的安全測試都會被視為「合法」且「經授權」的行為。
除此之外,APNIC也根據一份提案中的「徵求意見文件」(Request for Comment,RFC),利用該RFC建議的security.txt檔案描述APNIC的弱點通報計畫。若想進一步了解什麼是security.txt格式,以及RFC全文內容,請點擊這裡。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為APNIC launches vulnerability reporting program。
Photo created by freepik
