研讨：漏洞生态，管控还是培育？

2019年6月25日下午1点30分，在远望智库召开了第9期纵横沙龙：《漏洞生态：管控？培育？》，来自监管、企业、媒体、资本的朋友针对6月18日工业和信息化部发布的《网络安全漏洞管理规定（征求意见稿）》展开讨论交流，现将形成的主要观点整理如下供大家参考（以下内容仅代表专家观点）：

1. 《网络安全漏洞管理规定（征求意见稿）》（下简称“规定”）站位较矮（工信部网络安全管理局）、管理内容较窄（抑制黑产、促进外企产品供应商修复漏洞会发挥积极作用，而缺少考虑漏洞研究者、民间漏洞平台等生态要素）；

2. 规定对漏洞研究、挖掘者的保护不够，甚至会给这个群体带来新的、额外的风险，增加防守方的信息共享的障碍，给防守方带来更加不利的环境。

3. 规定在执行层面具有一定难度（要求漏洞要披露给厂商，大厂没有问题，可如果小厂，是否具备漏洞的评估验证能力？）；

4. 缺乏“漏洞产业视角”，过度强调管控，而忽视了“培育漏洞产业”（白产业务黑产化）所带来的国家网空能力和产业规模的巨大提升；

5. 规定会弱化漏洞研究的效益（tk：名、利、自我实现的感觉），抑制安全研究者积极性，导致顶尖研究人员转行或者出国，间接破坏整个行业队伍生态；

6. 鉴于漏洞在网络空间安全建设的重要意义，建议应从各个监管方、产业行业、漏洞研究者、民间漏洞平台、第三方智库等方面开展研讨，谨慎发布规定。

声明：本文来自网信防务，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。