CERTCC/Vultron

# Vultron [](https://github.com/CERTCC/Vultron/actions/workflows/python-app.yml) Vultron 是一个研究项目，旨在探索创建一个用于 协同漏洞披露 (CVD) 的联合、去中心化和开源协议。它源于 CERT/CC 数十年来在协调 全球软件漏洞响应方面的经验。其目标是创建一个可供任何组织使用 以协调信息处理系统（软件、硬件、服务等）中漏洞披露的协议， 并建立一个跨独立组织流程和策略的互操作性社区，以便协同工作， 协调对漏洞的适当响应。 Vultron 是一系列想法、模型、代码和正在进行的工作的集合，目前尚未准备好用于生产环境。 ## 背景及相关工作 Vultron 是 [CERT/CC](https://www.sei.cmu.edu/about/divisions/cert/index.cfm) 改进漏洞披露和响应协调工作的延续。 我们之前在该领域的工作包括： - CERT 协同漏洞披露指南 （[版本 1.0](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=503330)、 [版本 2.0](https://certcc.github.io/CERT-Guide-to-CVD) ） - 漏洞响应优先级排序：特定利益相关者的漏洞分类 (SSVC) （[版本 1.0](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=636379)、 [版本 2.0](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=653459)、 [github](https://github.com/CERTCC/SSVC) ） - 漏洞信息与协调环境 (VINCE) （[博客文章](https://insights.sei.cmu.edu/news/certcc-releases-vince-software-vulnerability-collaboration-platform/)、 [github](https://github.com/CERTCC/VINCE) ） - 各种相关研究，包括 - [网络安全信息共享：协同漏洞披露电子邮件语料库分析](https://www.research.ed.ac.uk/en/publications/cybersecurity-information-sharing-analysing-an-email-corpus-of-co) - [漏洞利用可用性时间线的历史分析](https://www.usenix.org/conference/cset20/presentation/householder) 最近，CERT/CC 一直致力于将这些知识形式化为 CVD 协议。 这项工作始于 [多方协同漏洞披露 (MPCVD) 的基于状态的模型](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=735513)， 该内容也曾以节略形式作为 [我们是技术精湛还是运气使然？解读漏洞披露的可能历史](https://dl.acm.org/doi/10.1145/3477431) 发表在 ACM 期刊《*数字威胁：研究与实践》* (Digital Threats: Research and Practice) 上。 2022 年，我们发布了一系列 [协同漏洞披露用户故事](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=886543)， 这些故事衍生自我们的流程建模工作以及构建 VINCE 的经验。 同年，我们发布了 [设计 Vultron：多方协同漏洞披露 (MPCVD) 协议](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=887198)， 该文献构成了本仓库所含工作的基础。 ## 那么 Vultron 到底*是*什么？ Vultron 是： - 一组代表协同漏洞披露所涉步骤的高级流程 - 描述这些流程交互的形式化协议 - 一组行为逻辑，既可以作为人类遵循的程序来实现，也可以（在很多情况下）作为代码来实现， 这些代码能够在极少人工干预的情况下，根据案例的状态变化执行相应的操作 - 一个最小数据模型，涵盖了在处理 CVD 案例过程中跟踪参与者状态和整体案例状态所需的信息 以上内容最初均在 [设计 Vultron：多方协同漏洞披露 (MPCVD) 协议](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=887198) 报告中进行了描述。 在本仓库中，我们正在迈出实现该报告中描述的协议和行为逻辑的第一步。 目前，工作重点是将形式化协议映射到 [ActivityPub](https://www.w3.org/TR/activitypub/) 协议的语法和语义上。 有关我们在该方向上初步尝试的示例，可在 [doc/examples](doc/examples) 中找到。 ## Vultron *不是*什么？ Vultron **不是**以下任何特定系统的直接替代品： - *跟踪系统*—例如 [Bugzilla](https://www.bugzilla.org/)、[Jira](https://www.atlassian.com/software/jira) - *CVD 或威胁协调工具*—例如 [VINCE](https://github.com/CERTCC/VINCE)、[MISP](https://www.misp-project.org/) - *漏洞披露计划*—例如 [DC3 VDP](https://www.dc3.mil/Missions/Vulnerability-Disclosure/Vulnerability-Disclosure-Program-VDP/) - *漏洞披露平台或服务*—例如 [HackerOne](https://hackerone.com/)、[Bugcrowd](https://www.bugcrowd.com/)、[Synack](https://www.synack.com/) 相反，我们希望 Vultron 能够作为一种*通用语言* (lingua franca)，用于在这些系统和服务之间 交换漏洞案例协调信息。 Vultron 不是漏洞优先级排序工具，尽管它旨在与 [SSVC](https://github.com/CERTCC/SSVC) 和 [CVSS](https://www.first.org/cvss/) 等常见优先级排序方案兼容。 Vultron 旨在成为一个功能集，而非一款产品；它可以实现在各种与 CVD 相关的产品和服务中， 以实现它们之间的互操作性。 ## 其他 CERT CVD 资源 有关我们在 CVD 流程的建模、形式化和描述方面工作的更多信息，请参阅： - [设计 Vultron：多方协同漏洞披露 (MPCVD) 协议](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=887198) (2022) 是最初的 Vultron 报告。 - [关于 Vultron 的 SEI 博客文章](https://insights.sei.cmu.edu/blog/vultron-a-protocol-for-coordinated-vulnerability-disclosure/) (2022-09-26) - [关于 Vultron 的 SEI 播客](https://youtu.be/8WiSmhxJ2OM) (2023-02-24) - [CERT 协同漏洞披露指南](https://certcc.github.io/CERT-Guide-to-CVD) (2017, 2019) - [多方协同漏洞披露 (MPCVD) 的基于状态的模型](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=735513) (2021) - （节略版）[我们是技术精湛还是运气使然？解读漏洞披露的可能历史](https://dl.acm.org/doi/10.1145/3477431) (2022) - [协同漏洞披露用户故事](https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=886543) (2022) - [网络安全漏洞管理生态系统的多方法建模与分析](https://resources.sei.cmu.edu/asset_files/WhitePaper/2019_019_001_550437.pdf) (2019) 是我们对 CVD 及相关流程进行系统动力学和基于代理建模的相关快照。 - [协同漏洞披露是一个并发过程](https://youtu.be/vhA0duqGzmQ) (2015) 是一个较早的演讲，回顾了 CVD 流程的一些先前模型，并展示了我们早期 试图形式化描述 CVD 流程并发方面的一些尝试。 ## 许可证与版权 我们仍在为这项工作确定合适的许可模式，但目前，本仓库受 随附的[版权声明](COPYRIGHT.md)保护。 如果您对此主题有任何反馈（包括版权/许可证是否给您在此项目上的协作带来了困难）， 请在 [issue](https://github.com/CERTCC/Vultron/issues/new) 中告知我们。

标签：CERT/CC, CVD, GPT, meg, SSVC, VINCE, Vultron, 信息安全, 协调漏洞披露, 去中心化, 安全协议, 开源协议, 漏洞信息共享, 漏洞响应, 漏洞披露, 漏洞管理, 网络安全, 联邦学习, 跨组织协同, 软件漏洞, 逆向工具, 隐私保护