因特网安全组织(OIS)发布新安全标准草案

　　因特网安全组织(OIS)刚刚发布了一个新的有关解决软件漏洞问题的安全标准草案，同时平息了关于软件漏洞何时、以何种方式发布的喋喋不休的争论。

　　OIS是一个拥有多家软件企业和安全机构的国际性安全组织，所属安全机构有BindView、Foundstone、Guardent、Internet Security Systems、Network Associates等，软件商包括微软、Oracle和SGI等，但这些安全机构和软件企业之间出现分歧。

　　微软资深安全战略学者Scott Culp指出这个标准草案试图平息安全专家们和软件商们的争执。他说，“当出现混乱或可能出现混乱的时候，你发现争执双方缺乏一个标准来裁定孰是孰非，特别是对付软件漏洞时，制定统一标准能及时阻止这些漏洞损害用户们的利益”。本安全标准草案将在网上发布一个月用于征求意见，有望于本月底在拉斯维加斯举行的安全会议上正式发布。

　　在这个草案中规定，当安全专家们发现了某个软件的漏洞之后，此软件制造商必须在七天内作出回应，30天内发布补丁软件。另外还要求安全专家们在软件商发布补丁之后为软件漏洞的细节问题保密至少30天以上。

　　已存在两年的OIS的成立目的之一是向专家们施压，让他们以负责任的态度公开软件中的漏洞。上世纪90年代初期，一些专家和黑客们通过公开软件漏洞细节信息的方式，来抗议软件商们以产品安全做幌子保守软件秘密。由于软件商们通常对安全问题反应迟钝，在发布补丁之前其软件漏洞就已经频频被曝光。

　　近几年软件商们对安全问题愈发重视，但仍有一些专家们在软件商还没有来得及作出补丁之前就将漏洞公之于众。Oracle首席安全官员Mary Ann Davidson说，“很多专家们认为如果软件商不能马上修补漏洞，就是懒惰。他们有所不知，修补一个漏洞有时要花很长时间。”

　　eEye Digital安全机构的官员Marc Maiffret表示，如果专家们不掌握漏洞细节，就会只有软件商们的一面之词，更何况漏洞信息能帮助系统管理员测出漏洞对系统的影响程度，打上补丁之后是不是起到了作用。Oracle的Davidson对此并不苟同，他说，在没有足够信息的情况下，是专家们而不是用户反应过激，我们看重的是用户而不是所谓专家们。(完)