国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　現(xiàn)在2013年度RSA大會(huì)正在熱烈召開，會(huì)上知名安全專家們建議軟件制造商和服務(wù)供應(yīng)商，預(yù)定在2013年底發(fā)布的安全漏洞處理流程中，需要準(zhǔn)備兩個(gè)新的來適應(yīng)新的安全需求，其中包括了 30111和ISO 29147。

　　RSA2013:供應(yīng)商需要新安全漏洞處理標(biāo)準(zhǔn)

　　ISO 30111涵蓋了所有漏洞處理流程中，無論是內(nèi)部確認(rèn)，或被外部人員報(bào)告的。

　　ISO 29147則涵蓋了如終端用戶、安全研究人員和黑客等外部人員所暴露的漏洞。

　　的高級(jí)安全策略主管兼標(biāo)準(zhǔn)制定者，凱蒂·牟索利斯(Katie Moussouris)希望，ISO 29147可以更容易地報(bào)告軟件和服務(wù)的漏洞。

　　凱蒂告訴參加本年度舊RSA會(huì)議的與會(huì)者，“該標(biāo)準(zhǔn)在漏洞的風(fēng)險(xiǎn)評(píng)估和應(yīng)用調(diào)整中將會(huì)起到更大的建設(shè)性意見”。

　　ISO 29147提供準(zhǔn)備接受外部漏洞報(bào)告的指導(dǎo)方針，第一個(gè)要求是對(duì)供應(yīng)商提出的，將使報(bào)告者更容易地同內(nèi)部的負(fù)責(zé)人取得聯(lián)系。

　　凱蒂說道，“漏洞發(fā)現(xiàn)者可以很容易地找到提交漏洞報(bào)告的門路，它必須是明顯的，并是容易使用的。因?yàn)槿绻皇沁@樣，他們就可能會(huì)求助于其他的渠道，如媒體或網(wǎng)絡(luò)論壇等”。

　　接下來的事情就是確認(rèn)收到的漏洞報(bào)告，該標(biāo)準(zhǔn)將保證報(bào)告必須在7天內(nèi)完成處理。

　　而ISO 30111也提供了調(diào)查和修補(bǔ)漏洞的指導(dǎo)方針和建議：

　　1.有一個(gè)組織和過程來支持排查、整治;

　　2.執(zhí)行根本原因分析，找出所有可能受影響的產(chǎn)品、服務(wù);

　　3.如果漏洞影響多個(gè)產(chǎn)品、服務(wù)，根據(jù)嚴(yán)重等級(jí)來定優(yōu)先級(jí);

　　4.平衡解決速度——如果是高威脅，可以考慮立即采取臨時(shí)的解決辦法;

　　5.如可能與其他供應(yīng)商展開協(xié)作。

　　當(dāng)然也有幾種可能，對(duì)修正不適用，如下：

　　1.一個(gè)無法復(fù)制的脆弱性;

　　2.該漏洞是已在調(diào)查中;

　　3.該漏洞僅影響已經(jīng)過時(shí)的產(chǎn)品;

　　4.漏洞是無法利用的;

　　5.漏洞是在第三方產(chǎn)品、服務(wù)。

　　凱蒂期望ISO 3011能切實(shí)提高供應(yīng)商展開調(diào)查和整治的級(jí)別，提高了封堵安全漏洞的速度和。