歐盟的網(wǎng)絡(luò)安全機(jī)構(gòu)ENISA在深入研究了漏洞披露的問題后發(fā)布了一份報(bào)告，該報(bào)告說明了影響漏洞披露者行為的經(jīng)濟(jì)因素，獎(jiǎng)勵(lì)機(jī)制和動(dòng)機(jī)，此外，還就最近披露的高危漏洞（“熔斷”，“幽靈”和“永恒之藍(lán)”）做了案例分析，并說明了整個(gè)經(jīng)過。

漏洞披露中的經(jīng)濟(jì)學(xué)

它分析了信息安全市場(chǎng)的經(jīng)濟(jì)因素及其與漏洞披露的關(guān)系，還探討了如何將古典經(jīng)濟(jì)學(xué)概念應(yīng)用于該問題（公共資源的悲劇，網(wǎng)絡(luò)效應(yīng)，外部性，不對(duì)稱信息和逆向選擇，責(zé)任傾銷，道德風(fēng)險(xiǎn)）。

ENISA執(zhí)行董事Udo Helmbrecht指出：“經(jīng)濟(jì)學(xué)是現(xiàn)代安全的關(guān)鍵驅(qū)動(dòng)因素，而經(jīng)濟(jì)因素往往決定了人們解決問題時(shí)采取的方法決策。該報(bào)告完美地詮釋了這一點(diǎn)，且為漏洞披露領(lǐng)域的各方行為提供了有價(jià)值的見解。”

重要見解

研究人員稱：“總體而言，該研究已經(jīng)產(chǎn)生了許多重要發(fā)現(xiàn)。首先，該研究表明了以CVD為主的漏洞披露形式的重要性。正如“永恒之藍(lán)”案例中所體現(xiàn)的，廣泛存在于軟件和硬件中的漏洞可能會(huì)給全球社會(huì)造成巨大的危害，因此有必要制定一系列流程來充分識(shí)別報(bào)告、接收，分類及緩和漏洞危害。”

其他見解

將漏洞披露視為一個(gè)生態(tài)系統(tǒng)是非常重要的。漏洞披露的所有參與方都應(yīng)認(rèn)識(shí)到建立和運(yùn)行互利結(jié)構(gòu)的重要性，這些結(jié)構(gòu)能夠?qū)崿F(xiàn)有效和高效的CVD漏洞披露。

應(yīng)向參與方提供資源，良好操作實(shí)例和自愿標(biāo)準(zhǔn)。

發(fā)現(xiàn)者，協(xié)調(diào)方和廠商必須及時(shí)以雙方都能理解的語言實(shí)現(xiàn)建設(shè)性溝通。

確保識(shí)別和報(bào)告漏洞的研究人員遵守《安全港協(xié)議》并受到法律保護(hù)。

大多數(shù)組織應(yīng)考慮部署CVD流程，有些組織可能想實(shí)施漏洞賞金計(jì)劃，但不要以干擾開發(fā)和測(cè)試階段的其他信息的安全為代價(jià)。

雖然CVD和漏洞賞金計(jì)劃可以識(shí)別某些類型的漏洞，但它們不太可能識(shí)別現(xiàn)代計(jì)算系統(tǒng)中存在的更大的結(jié)構(gòu)性問題。因此，政府，學(xué)術(shù)指導(dǎo)和私人組織應(yīng)繼續(xù)投資長期性的安全研究，以識(shí)別和減輕基礎(chǔ)漏洞帶來的危害，例如設(shè)計(jì)缺陷或協(xié)議漏洞。

該報(bào)告撰寫依據(jù)案頭研究，查閱現(xiàn)有文獻(xiàn)（學(xué)術(shù)研究、技術(shù)報(bào)告、媒體文章等）以及與漏洞披露界專家（來自學(xué)術(shù)界、漏洞賞金平臺(tái)、漏洞披露計(jì)劃運(yùn)營商、廠商等）的訪談完成。