核心概念
CVD(Coordinated Vulnerability Disclosure,協調漏洞揭露)是資安社群處理已發現漏洞的標準模型。核心原則:在廠商完成修補之前,漏洞細節保持不公開,同時確保研究者最終能公開成果。
前身是「負責任揭露(Responsible Disclosure)」,因「負責任」帶有道德評斷色彩(不照做就是不負責任),業界改用更中性的「協調揭露」。CERT/CC 明確指出 CVD 是「過程,而非一次性事件」——從發現到完整公開,可能橫跨數週到數月。
三大角色
| 角色 | 說明 |
|---|---|
| 發現者(Finder) | 安全研究者或白帽駭客,發現並回報漏洞 |
| 廠商(Vendor) | 受影響產品的開發者,負責修補 |
| 協調者(Coordinator) | CERT/CC、CISA 等第三方,管理時間軸、跨廠商協調 |
揭露流程
- 發現者私下向廠商或協調者回報,附上漏洞描述、PoC(概念驗證)、影響評估
- 廠商於 3 個工作天內確認收到
- 廠商驗證漏洞,制定修補計畫
- 雙方協商「揭露日期(disclosure date)」
- 廠商發布修補程式,同步公開安全公告(含 CVE 編號)
- 發現者可選擇發表研究報告或在 CVE 資料庫獲得記錄
時間軸標準
業界無統一強制規定,各組織採用不同基準:
| 組織 | 時間標準 |
|---|---|
| Google Project Zero | 通知廠商後 90 天,無論修補完成與否均公開 |
| Zero Day Initiative (ZDI) | 廠商回應後 120 天 |
| CISA(美國) | 3 工作天確認,修補時間依嚴重程度而定 |
現實跨度極大:MD5 碰撞攻擊約 1 週,ROCA 漏洞長達 8 個月。若廠商消極回應,研究者有權在期限屆滿後強制公開(forced disclosure)。
與 Bug Bounty 的差異
CVD 是揭露模型,Bug Bounty 是激勵機制,兩者不互斥:
| 維度 | CVD | Bug Bounty |
|---|---|---|
| 性質 | 流程規範 | 財務激勵 |
| 報酬 | 無,或名譽認可 | 現金獎勵 |
| 強制性 | 道德共識 | 合約約定 |
| 平台 | 直接聯繫或 CERT 協調 | HackerOne、BugCrowd 等 |
| 範疇定義 | 無特定限制 | 通常有明確 scope |
有 Bug Bounty 計畫的廠商通常同時要求研究者遵循 CVD 流程。CVD 的核心矛盾:期望獲得金錢補償才揭露漏洞,有時被廠商視為「勒索」,但研究者視此為合理市場機制。
關鍵要點
- 核心張力:公眾知情權 vs. 給廠商足夠的修補時間——CVD 的設計本質上是一個「可控的不確定性」
- 90 天是業界非正式基準,由 Google Project Zero 推廣;若廠商請求延期且有進展,可協商延長
- VDP(Vulnerability Disclosure Policy):企業公開承諾的回報流程文件,是落地 CVD 的最低門檻;應包含聯絡方式、時間軸、法律保護聲明(不對善意研究者提告)
- 三種揭露模式光譜:私下揭露(廠商決定是否公開)→ 協調揭露 CVD → 全面揭露(立即公開,給廠商最大壓力)
- 法規趨勢:歐盟 NIS2 指令要求關鍵基礎設施運營商實施 CVD 政策;美國 CISA 提供聯邦機構的 VDP 平台
實務應用
對開發者與企業,實施 CVD 的最低門檻:
- 建立聯絡入口:
security.txt文件或security@domain信箱,讓研究者找得到你 - 制定 VDP 文件:說明回報流程、時間軸承諾、研究者的法律保護範圍
- 設立 PSIRT(Product Security Incident Response Team):接收、分類、轉介漏洞報告
- 指定 CVE 申請流程:向 MITRE 或授權 CNA(CVE Numbering Authority)申請 CVE 編號
延伸觀點
揭露期限的博弈設計(來源:Google Project Zero 政策 + Wikipedia CVD 條目,2+ 來源交叉驗證)
90 天期限的威力不在於懲罰廠商,而在於創造不可逆的壓力。研究者公告「90 天後自動公開」等同於設置一個固定的炸彈計時器——廠商知道漏洞無論如何都會曝光,拖延只會讓自己處於「已知未修補」的惡劣公關位置。這使得 CVD 本質上是一個賽局理論設計,而非單純的道德規範。
多廠商協調的複雜性(CISA + CERT/CC,2+ 來源)
現代軟體依賴鏈深厚,一個底層元件漏洞可能影響數十個廠商(如 Log4Shell)。此時協調者角色不可或缺:CERT/CC 或 CISA 必須同時通知所有受影響廠商,並協調統一的揭露日期。若各廠商修補進度不一,往往選擇「最慢的那個」作為揭露基準,或選擇在多數廠商就緒後公開,留下尚未修補的廠商自行承擔風險。
「受管理的揭露服務」新趨勢(Wikipedia CVD 條目,單一來源,優先網域)
大量缺乏專職安全團隊的中小企業,開始委外第三方廠商(如 HackerOne、BugCrowd)全權處理 CVD 協調工作,包含回報接收、漏洞分類、與研究者溝通。這使 CVD 從一個「需要內部能力」的程序,逐漸演變成可以購買的服務。
反向連結
以下頁面引用了本頁: