中国研究人员的漏洞披露情况分析

关键要点

• 中国法律的新变化对研究人员的参与产生了负担，但对漏洞披露的影响微乎其微。
• 中国研究人员在漏洞披露中贡献显著，尤其在Pwn2Own比赛中表现突出。
• 对于法律的模糊性，研究人员认为并未对中国的参与造成明显抑制。
• 未来将有可能将漏洞报告视为正式数据源，以获取更丰厚的信息。

在最近的黑帽大会上，大西洋理事会的一组成员分享了有关中国法律新变化对研究人员的影响，尽管这些法律增加了新的负担，但对漏洞披露的整体效果微小。中国的研究人员在漏洞披露项目中贡献了大量的、高质量的工作。例如，在政府允许的情况下，中国的研究人员在漏洞发现竞赛Pwn2Own中占据主导地位，。

法规背景

2021年7月，中国实施了，其中一项规定要求所有“网络安全”漏洞需在两天内报告给相关厂商及国家工业和信息化部（MIIT）。这一法律已经导致国内最大公司之一——阿里巴巴受到影响。在未能及时其在Apache中披露的Log4j漏洞后，政府暂停了与其云子公司的信息共享协议。

法律模糊性

大西洋理事会的网络战略倡议的首席研究员斯图尔特·斯科特在黑帽大会上展示研究成果时提到：“关于法律适用对象存在一定模糊性，一些情况下提到公司和供应商，其他情况下则提到个人，这并不一致。”然而，尽管法律的模糊性及其潜在法律风险，似乎并未对中国在漏洞披露方面的参与造成明显的寒蝉效应。

研究团队分析了F5、VMware、Apple、Microsoft及RedHat五家大型厂商的补丁报告，发现披露活动变化不大。在法律宣布、发布或生效前后，F5和VMware均未收到中国公司的漏洞报告。相较之下，Apple和RedHat的中国披露数量有所增加。微软在2020年7月的漏洞报告数量却出现骤减，究其原因可能并不单纯与这项法律有关。

数据收集难点

斯科特指出，研究人员在提交漏洞时一般会设定30至90天的报告截止期，而这些时间点多在7月法律落实之前，这使得确定具体漏洞提交流程变得困难。这意味着，现有的数据显示仍需时间进行评估。“或许现在还太早去判断这项法律是否对漏洞供应造成了显著影响，更不要提其可能导致的后果。”斯科特说。

未来展望

补丁报告中的归属旨在公开感谢，并不设计成易于分析的数据来源，且没有标准化处理（“同一四到五个字母公司的拼写方式多种多样，”斯科特表示）。研究团队认为，将来以正式数据源的方式处理这些信息可能会带来价值。

“漏洞报告不再是临时的了。单纯说存在问题并已修复是不够的。补丁更新窗口的长度、向用户推广补丁所需时间及其质量，都是关于厂商行为的重要信息，揭示了漏洞的严重性以及软件产品的安全性，”负责本次研究并与斯科特共同展示成果的网络战略倡议负责人特雷·赫尔表示。

此项研究展示了中国漏洞披露的现状及其面临的法律挑战，也为未来的研究提供了新的思考方向。