king|ISC 2021丨HackingClub白帽峰会开启漏洞是安全的核心( 二 )_薛涛|公安部

二、不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
三、不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
四、不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
五、在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。
六、在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。
七、不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
八、法律法规的其他相关规定。
薛涛表示，漏洞的发布将会被严格限制。尤其是在网络安全漏洞可以被视为一种“战略资产”的背景下，未公开的安全漏洞不得向境外组织和个人提供，避免用于威胁我国的网络安全。同时他建议广大白帽子们，严格按照《网络产品安全漏洞管理规定》为自己的行为边界划出红线，更充分地利用自己的网络安全技能，避免因为不知法、不守法让自己陷入违法甚至犯罪的窘境。

文章插图
在峰会上，360BugCloud开源漏洞响应平台高级研究员冯飞还现场还发布了《2021全球通用漏洞分析报告》，与场内嘉宾分享了漏洞发展趋势，为行业提供了参考。
冯飞介绍，2017年通用漏洞数量出现了爆发式的增长，同比2016年增长了近85%；2020 年漏洞数量同比增长 9%，按照此增长趋势预测，2021年漏洞将会继续增长，2021全年全球通用漏洞数量预计将突破两万大关。
在2021 全球通用漏洞分析报告中，还针对谷歌、微软、苹果三家公司历年来的漏洞赏金和历年爆发的漏洞数量进行了关联性分析，分析结果证明，漏洞赏金越高，漏洞赏金越多，其能够收录的漏洞数量就会越多，高危漏洞数量也会越多，但是严重漏洞数量会逐步减少，或者在同比情况下出现负增长的情况。

文章插图
冯飞最后还分享了报告中五点关于未来漏洞发展趋势的观点：
1、跨站脚本攻击漏洞已成黑客重点利用的漏洞，防范钓鱼攻击已拉响一级安全警报；
2、有人的地方就有江湖，有软件的地方就有漏洞，企业影响力越大，漏洞数量越多；
3、基础设施软件漏洞最多，漏洞威胁无人幸免；
4、规避供应链漏洞的影响，是一场长征；
5、企业对外建立漏洞应急响应渠道，是安全发展的必然趋势。
此外，据冯飞介绍，正式版的《2021 全球通用漏洞分析报告》将于ISC大会结束后正式发布。