拥抱白帽黑客,通用宣布安全漏洞报告项目
今年的 1 月 5 日,通用汽车与 HackerOne 合作,低调宣布了首个公共安全漏洞报告项目。通用的首席网络安全官 Jeff Massimilla 告诉 Ars Technica 网站,这是通用与外部安全研究员建立关系的第一步,能够让通用更快地发现和处理安全漏洞。
“我们很重视第三方的安全研究。” Massimilla 说。他解释说,只要第三方遵循通用发布的规则,那么,当他们发布安全漏洞后,就能够得到通用的合作而不是法律制裁。此项目的重要部分是与 HackerOne 的合作。Massimilla 承认说,在与外部安全人员合作方面,通用并没有多少经验,HackerOne 起到了一个沟通协调的作用。
与特斯拉的漏洞奖励项目相比,通用的新项目不够完善和全面,不过,安全宣传机构 I Am The Cavalry 的 Joshua Corman 认为,这是通用迈出的一大步。“这是首个漏洞报告项目。如果其它汽车制造商开始效仿,那么,这将真正促进他们安全措施的成熟。”
目前,许多汽车制造商都有自己的漏洞报告项目,涉及到内部员工和有合约的安全研究员,而独立安全研究员通常不会把发现的漏洞反馈给厂商,因为他们害怕公司采取法律手段。对于汽车厂商来说,安全漏洞也是一个头疼的问题, 涉及到许多的合作商,而且,有些安全漏洞是很难弥补的。
2014 年开始,通用就开始构建公司内部的安全团队,以应对日益增多的网络安全问题。Massimilla 说,新的安全措施将会影响到通用安全系统的构建。“在安全系统的设计上,我们采取了分层的方法。这样的话,我们能够更好地理解系统的内部状况,并且不断对其进行更新。”
同时,通用还加入了汽车行业新成立的 Auto ISAC(汽车信息共享咨询中心)。这是汽车制造商联盟旗下的网络安全信息分享和分析中心。Massimilla 是 ISAC 的副董事长。“ISAC 的意义在于,汽车制造商聚集到一起,分享网络安全方面的信息,然后采取预防性的、跨行业的安全措施,以应对这些问题。” 他说。
图片来自 Wired