現(xiàn)在2013年度RSA信息安全大會（RSA2013）正在熱烈召開，會上知名安全專家們建議軟件制造商和互聯(lián)網(wǎng)服務供應商，預定在2013年底發(fā)布的安全漏洞處理流程中，需要準備兩個新的ISO標準來適應新的安全需求，其中包括了ISO 30111和ISO 29147。

RSA2013:供應商需要新安全漏洞處理標準

ISO 30111涵蓋了所有漏洞處理流程中，無論是內(nèi)部確認，或被外部人員報告的。

ISO 29147則涵蓋了如終端用戶、安全研究人員和黑客等外部人員所暴露的漏洞。

微軟的高級安全策略主管兼標準制定者，凱蒂·牟索利斯（Katie Moussouris）希望，ISO 29147可以更容易地報告軟件和服務的漏洞。

凱蒂告訴參加本年度舊金山RSA會議的與會者，“該標準在漏洞的風險評估和應用調(diào)整中將會起到更大的建設性意見”。

ISO 29147提供準備接受外部漏洞報告的指導方針，第一個要求是對供應商提出的，將使報告者更容易地同內(nèi)部的負責人取得聯(lián)系。

凱蒂說道，“漏洞發(fā)現(xiàn)者可以很容易地找到提交漏洞報告的門路，它必須是明顯的，并是容易使用的。因為如果不是這樣，他們就可能會求助于其他的渠道，如媒體或網(wǎng)絡論壇等”。

接下來的事情就是確認收到的漏洞報告，該標準將保證報告必須在7天內(nèi)完成處理。

而ISO 30111也提供了調(diào)查和修補漏洞的指導方針和建議：

1.有一個組織和過程來支持排查、整治；

2.執(zhí)行根本原因分析，找出所有可能受影響的產(chǎn)品、服務；

3.如果漏洞影響多個產(chǎn)品、服務，根據(jù)嚴重等級來定優(yōu)先級；

4.平衡解決速度——如果是高威脅，可以考慮立即采取臨時的解決辦法；

5.如可能與其他供應商展開協(xié)作。

當然也有幾種可能，對修正不適用，如下：

1.一個無法復制的脆弱性；

2.該漏洞是已在調(diào)查中；

3.該漏洞僅影響已經(jīng)過時的產(chǎn)品；

4.漏洞是無法利用的；

5.漏洞是在第三方產(chǎn)品、服務。

凱蒂期望ISO 30111能切實提高供應商展開安全漏洞的調(diào)查和整治級別，提高封堵安全漏洞的速度和質量水平。