今天,APNIC(亚太互联网络信息中心)宣布了正式的漏洞报告计划,旨在为发现APNIC服务中任何错误或弱点的安全研究人员提供指导。
亚太互联网络信息中心 (Asia-Pacific Network Information Center,APNIC),是全球五大区域性因特网注册管理机构之一,负责亚太地区IP地址、ASN(自治域系统号)的分配并管理一部分根域名服务器镜像的国际组织。成立于1993年,总部设于澳大利亚布里斯班。它提供全球性的支持互联网操作的分派和注册服务。这是成员包括网络服务提供商、全国互联网登记,和相似的组织的一个非营利,基于会员资格的组织。APNIC负责亚洲太平洋区域,包含56个经济区。
尽管APNIC一直欢迎有关潜在安全问题的报告,但此新程序的引入为APNIC计算机安全事件响应小组(CSIRT)列出了直接的电子邮件地址,他们希望在详细报告中看到哪些信息,以及有关的指导。
APNIC还采取了进一步措施,包括了“安全港”声明,该声明使安全研究人员能够进一步保证,在该计划的指导范围内进行的任何安全测试都将被视为经过授权和合法。这是许多研究人员关心的问题,因为在某些情况下,公司已对发现漏洞并试图真诚举报漏洞的安全研究人员提起诉讼。
该计划是APNIC正在进行的主动安全计划的一个方面,将有助于提高APNIC产品和服务的安全性。
该图显示了漏洞的生命周期,包括报告程序
在APNIC的持续安全流程中如何使用漏洞报告程序。
此外,APNIC实施了建议的征求意见书(RFC),用于通过使用security.txt文件来描述他们的漏洞报告程序。(欢迎转载分享)