文摘

全球网络的威胁越来越严重,和网络安全脆弱性管理已经成为关键领域在全国信息安全应急体系建设。指导第三方关于网络安全漏洞管理共享平台,这项工作结构的信号博弈模型由第三方脆弱性共享平台和软件厂商漏洞协作披露。此外,我们分析了游戏的策略选择及其影响因素。结果表明,有两个完美贝叶斯均衡,包括分离均衡和混合均衡,由于不完整的信息披露。平衡态是主要基于保护的压缩时间周期和软件供应商的存在比开发市场的补丁。这项工作提出了一些建议在保护期内,声誉损失,及相关法律法规。

1。介绍

信息技术(IT)在大多数组织中起着至关重要的作用。随着我们的社会极大地取决于技术,其故障更加灾难性的。任何潜在的威胁的事件或动作的安全资源,在这些资源包括数据和信息,是十分关注的。今天大多数安全事件是由缺陷造成的软件,叫做弱点(1]。大量的漏洞已经被确认为可怜的计算机网络安全的主要原因(2]。然而,软件的漏洞是不可避免的。据估计,有多达20‰行软件代码缺陷3]。尽管许多软件供应商最近开始更关注安全的软件工程实践,安全软件与零漏洞是不可能的。更好、更安全的软件的一个关键方面是及时解决漏洞的补丁的供应商在他们的产品4]。补丁版本可以被看作是良好的产品支持。软件用户未能及时修补使攻击者恶意的意图来访问他们的系统和经常获得完整和管理员级别的控制。等入侵导致金融和隐私损失用户继续办理和使用这些系统在不知情的情况下。更糟糕的是,破坏系统的存在相当大的人口在计算机网络对所有网络用户大量外部性(5]。值得注意的是信息安全不再只是互联网行业本身的问题已经成为一个重要的问题相关的社会公共安全。

1.1。网络安全漏洞

值得注意的是,补丁的问题均有突出的表现,由于公开披露的漏洞。作为中央链接信息安全风险控制,网络安全漏洞信息披露起着至关重要的作用在减少和区分各种风险。加强的过程,收集、分析、报告,并通知网络安全漏洞已成为国家信息安全的一个重要组成部分。在中国,中国的民族之间的协作的信息安全漏洞数据库(https://www.cnnvd.org.cn),Butian (https://www.butian.net/)、脆弱性盒(https://www.vulbox.com/),和其他第三方脆弱性共享平台在信息安全发挥重要作用。

通常,漏洞生命周期包括七个阶段,包括生成、发现、发布,欢迎,修复,衰变,灭绝。其中,漏洞发布是本文讨论的漏洞的披露。一旦漏洞发现者揭示了脆弱性的制造商(或其他科目),漏洞的披露阶段立即启动。可以完全公开的漏洞信息发布到一个第三方平台或黑客之间的秘密交易。人们普遍认为,漏洞的披露是指漏洞信息的披露给公众通过公开渠道。中国国家标准信息安全技术信息安全漏洞管理(GB / T 30276 - 2013)将它定义为“释放的脆弱性及其维修信息的前提下在某些版本策略。采用“术语“释放”的网络安全法律直接监管漏洞的披露。第二十六条法律规定”执行网络安全认证,检测,风险评估,和其他活动和发布网络安全信息,如系统的漏洞,计算机病毒、网络攻击和网络入侵,应当遵守国家有关规定。”

1.2。脆弱性协调披露和保护时间设置

随后的步骤处理后软件漏洞的知识的传播良性用户标识它们被统称为漏洞的披露过程。漏洞发现者提交第三方漏洞的发现漏洞的共享平台。第三方平台然后确定缺陷的性质,与下游软件制造商或其他团队协商来修复它们。然后,脆弱性信息将公布在漏洞发现者、第三方脆弱性共享平台和软件供应商必须合作才能有效地解决漏洞问题[6,7]。这种合作被称为协作信息披露和它强调所有的利益相关者,包括漏洞发现者、软件供应商、第三方脆弱性共享平台,和政府机构,应该共享安全漏洞信息,共同努力,积极配合减轻安全风险。请注意,漏洞信息披露之间的时差和补丁修复和平衡各方的需求已经成为基本的注意事项信息协作披露第三方脆弱性共享平台。出于这个原因,第三方脆弱性共享平台设置一个漏洞信息保护的时期。例如,cert保护周期是45天。网络安全漏洞管理条例》(稿)工业和信息化部颁发的中华人民共和国表明保护期限是90天。保护期间,平台不积极披露漏洞信息,以避免被黑客利用。后一个补丁成功开发或如果失效保护时期,脆弱性信息披露。这种回溯机制下,软件供应商积极开发补丁漏洞保护期间为了避免零时差攻击和维护企业声誉(8]。然而,考虑到今天的网络安全攻击,当前修补过程安全一直效果低于期望的(9]。因此,许多系统行为补丁发布之后很长一段时间。据中国国家漏洞数据库的信息,25%以上的吹毛求疵的漏洞公布2019年没有修补成功。商业软件的主要原因可能无法修复的补丁不发达。因此,第三方平台的信息披露nonrepaired漏洞加剧的风险。

保护时期已成为一个关键方面的第三方平台调节片研发软件供应商的行为。通常,一旦漏洞是由供应商,供应商将及时发布一个补丁。然而,并不是每个人都认为脆弱性信息披露过程最优的解决方案。在补丁的研究和开发过程中,第三方平台不能直接获得关于补丁的研究和开发过程的相关信息,不得不被动地等待。如果软件供应商仍然无法发布补丁结束时保护时期,网络安全风险增加。因此,有必要对第三方平台屏幕软件供应商,分类基于他们的努力在补丁开发软件供应商,调整保护时期,并迫使软件供应商积极发展补丁。软件供应商积极地释放自己的签名获得最好的泄漏保护时期,从而减少补丁开发的成本。为了验证这些思想,提出了一种信号软件供应商和第三方之间的博弈模型漏洞共享平台在协作的过程中披露的信息安全漏洞。

2。理论背景

2.1。挑战弱点信息披露

脆弱性是指缺陷和不足在硬件的设计和实现,软件,和一个信息系统的通信协议,或系统安全策略的缺陷和不足3]。因此,网络安全漏洞是不可避免的。一旦发现漏洞、披露和虐待,他们可能对系统造成破坏。鉴于互联网的传播速度,漏洞传播世界各地在几个小时10]。为了解决这些问题,该漏洞信息披露已经成为信息安全行业最关键的环节。然而,道德问题漏洞的披露也被各国讨论(11]。

脆弱性披露通常需要多个政党之间的协调,根据CERT指南(12]。这种行为叫做协调漏洞的披露。协作披露意味着协调器接收漏洞信息,协调利益相关者之间的信息,并揭示软件漏洞和补丁发展状况信息利益相关者,包括公众。一般来说,协调是一个中立的、独立的第三方平台(7]。有限的披露意味着漏洞发现者报告制造商的安全漏洞,从而协助解决安全漏洞问题。当解决方案完成后,制造商宣布脆弱性和向用户发布补丁。这种类型的脆弱性信息披露更加中性,更复杂的细节。这是妥协和导数的前两个类型的漏洞的披露,尽管有很多不合理的点,比如释放漏洞没有补丁,还导致类似的充分披露造成的安全问题。请注意,这种类型的信息披露给用户和制造商的利益考虑和批准大量安全人员。它是非常困难的,因为它隐藏了信息安全人员,攻击者可以独立发现和分享漏洞(13]。与有限的披露,充分披露会导致一个更小的延迟漏洞攻击的传播,更强的攻击爆发,更高的风险披露后的第一次袭击一天(14]。这些政策倾向于一个利益相关者,安全社区最近意识到需要一个中间立场的供应商和良性的脆弱性信息披露过程中用户可以妥协,使流程更好的为社会(15]。因此,协作信息披露已成为行业中最好的选择和研究社区。在信息披露过程中,良性的用户不立即向公众宣布知识漏洞,给供应商一些时间来开发一个补丁。如果供应商没有发布补丁在最后期限之前,公众了解漏洞(7]。有时,直接披露也扮演着重要角色的协作信息披露漏洞。越来越多的学者支持混合披露模型。不同的披露模式不明确之前提出,和界限越来越模糊16]。

2.2。漏洞的披露方法

对于特定的环境,通过提供产品协作信息披露对企业和消费者都有好处(17]。错误奖励计划(bbp)供应商和中间商是最重要的发明用于防止危险犯罪近年来。然而,与供应商的激励和其他激励措施,信息披露的比例和黑客参与略有增加。安全研究人员的动机有助于那些bbp提供更高的薪酬,而不仅仅是那些有更高的概率发现漏洞的程序(18]。与其他信息披露方法相比,基于第三方平台的协同信息披露有效地提高了效率和福利在大多数情况下(19,20.]。当供应商逐步发布一个补丁修复漏洞,攻击者可能会发现和利用的其他设备上相同的漏洞还没有修补由供应商使用的补丁发布设备(Nakajimata et al ., 2020)。漏洞被该组织的信息披露,比如计算机紧急响应小组(CERT),执行供应商发布补丁后很短的间隔(4]。考虑到保护第三方脆弱性共享平台,安德森等人提出了信息安全控制理论用于管理和协调之间的紧张关系网络脆弱性信息共享和保护21]。软件供应商的一般的补丁开发速度较低和社会最优22]。

2.3。博弈论的应用程序漏洞的披露

游戏基于理论的方法广泛应用于网络安全管理研究,如网络安全投资决策。高研究另一个公认的安全漏洞的使用概率函数来确定这两家公司的安全投资和信息共享和分析的安全漏洞概率两个公司的四个州下分享信息,聚集攻击,聚合防御,和均衡分散的决策。作者将这些结果与三个集中决策情况下,证明了虽然聚集攻击,聚合防御,和安全漏洞概率保持不变,更多的社会干预产生更高的社会福利(23]。他分析了四级网络游戏漏洞两家公司之间的信息共享和两个黑客(24]。作者获得的管理启示黑客基于不同的特征。然而,缺乏研究如何解决信息不对称的问题的基础上,在游戏过程中信号传输。的研究对其他平台的操作,不同学者介绍了信号博弈理论为研究不同平台的信号显示行为主体及其影响因素,如供应链之间的信号传输平台,该平台卖家(25],P2P平台之间的信号传输和双边贷款用户,作为信息中介,P2P平台可能会或可能不会传输信息。此外,传播的信息不一定是真实的,和信号显示的有效性取决于信号显示的成本。当信号显示的成本是在中间,P2P平台愿意如实显示信号,从而为研究方法的选择提供一个参考在这工作。

目前,有大量的理论讨论关于网络安全漏洞的披露。用博弈论分析不同参与者之间的合作网络安全漏洞的披露也有关。然而,研究结果对于脆弱性合作基于第三方披露漏洞共享平台仍然不足,还有一个上的理论和实证研究相对缺乏第三方平台和软件供应商之间的游戏。本研究有助于研究协作信息披露的影响因素和机制基于第三方平台的安全漏洞。此外,这项工作相应的提出了相应的建议软件供应商和第三方之间的协作披露漏洞脆弱性共享平台。

3所示。研究假设和模型建设

3.1。参与者的定义

网络安全漏洞信息披露过程中,参与者包括安全研究人员、政府、软件供应商、第三方平台,“白帽子”。网络安全漏洞的披露和补丁发布过程呈现在图1。白帽子通常是一个第三方的注册成员脆弱性共享平台,它委托第三方平台处理漏洞时提交。因此,在这项工作中给出的信号博弈模型,只有软件供应商和第三方平台之间的游戏。

软件供应商是信号发送方和第三方平台信号接收器。软件供应商的类型是私人信息。基于软件供应商处理的方式发现漏洞,他们可以分为两种类型,包括积极发展的软件供应商补丁 和软件供应商不开发补丁 积极。假定的软件供应商积极发展补丁成功开发补丁在保护期限内。第三方脆弱性共享平台是一个公共信息服务提供者。这是一个球员的主要目的是提高网络安全。请注意,这两名球员都是理性经济个体,旨在最大化他们的回报。其他参与者的网络安全漏洞的披露,假定白色帽子后立即提交到第三方平台的漏洞信息获取。此外,我们还假定用户也安装补丁后立即释放。

3.2。游戏信号

由于信息不对称,第三方平台无法完全理解如果软件厂商正在积极研究和发展中发现漏洞的补丁。第三方脆弱性信息披露平台只依赖于软件供应商发送的信号来判断和决定是否调整保护。软件供应商发送的信号显示,他们愿意开发补丁。假设 意图高信号,这意味着软件厂商宣布它将积极开发补丁。相反, 意向较低信号,这表明软件厂商宣布不会积极开发补丁。

3.3。参数的假设

H1:当一个软件供应商及时披露漏洞,消费者觉得保护,从而增加购买公司的产品,和软件供应商增加的利润和声誉(Choi和Fershtman et al ., 2010)。类型的软件供应商的营业收入是 。软件供应商的收入类型是 ,在哪里 。请注意,软件供应商的营业收入是影响他们的态度研究和开发。H2:发送高意向的信号接收的软件供应商的社会奖励积极修复漏洞。的软件供应商发送低意愿信号接收社会奖励积极修复漏洞。一般来说,软件供应商谁发出高意向信号更容易赢得消费者的信任和软件供应商发出低目的信号。假设所有的软件供应商积极发展补丁成功地在保护期限内。H3:成本类型的软件供应商发送一个高信号 。为了展示他们的意愿高,软件供应商型伪装自己,比如错误报告营业额,伪装成本 。发送的成本高希望信号记录 。低成本的意愿信号从软件供应商是0。H4:研究和开发成本由软件供应商 ,在哪里表示成本由软件供应商立即释放孔在漏洞被发现和补丁单位时间特征的储蓄补丁开发成本与延迟释放有关。补丁分发和维护成本的研发不考虑26]。表示脆弱性保护期间指定的第三方平台,和代表了时间漏洞时提交给第三方平台。H5:当软件供应商不发布的补丁解决漏洞,漏洞信息不披露,软件供应商有风险成本 。如果漏洞信息披露、风险成本( )。不积极发展的软件供应商补丁最终遭受攻击损失 。攻击损失大于风险成本。编辑:一个平台有两个选项接到信号后,即,disclose the vulnerability information immediately or disclose the vulnerability after the expiration of the protection period(这个时候,是一个固定值)。请注意, 表示披露在正常周期和保护 表示立即披露 。假设成本承担由第三方平台立即披露意愿的漏洞软件供应商成本与直接相关信息披露意愿降低制造商的漏洞( ),信息披露的成本在常规的保护时间为0。目前,很少有规定的控制弱点在中国信息披露。“国家有关规定”要求的范围内履行包括部门规章规定低于刑法的法律地位,从而使脆弱的合法性披露的第三方平台上不清楚。第三方的安全测试和漏洞发现过程没有软件供应商的同意可能本身违反刑法的规定。因此,第三方脆弱性信息披露平台,可能会承担法律风险披露漏洞时,尽管它很可能越不愿制造商不积极发展补丁。因此,潜在的风险也更高。H7:那些不积极发展的软件供应商补丁,如果第三方平台选择披露立即迫使他们修复漏洞,减少网络的安全风险,平台将获得社会效益 ,比如提高社会声誉和缩短持续时间的漏洞。如果不采取措施反对不积极发展补丁软件供应商,第三方平台将遭受损失 ,如竞争力的下降和数量的减少“白帽子”漏洞提交。H8:如果第三方平台选择披露漏洞信息正常的保护期内,软件供应商发送一个高意向的信号和发布一个补丁之前保护时期获得声誉 。否则,失去了声誉 。第三方平台发出低意图的信号和发布一个补丁之前保护时期获得声誉 。否则,失去了声誉( )。H9:第三方平台不独立开发漏洞补丁,但只有披露漏洞的软件供应商和监督他们根据他们的愿望。如果独立软件供应商不能解决漏洞问题通过第三方的监督平台,他们将不会得到社会的回报。因此,假定所有的软件厂商通过第三方平台表达自己的愿望和发展漏洞补丁的监督下第三方平台。

3.4。博弈模型

下面是游戏的时间序列:(1)自然随机选择一个软件供应商的空间 根据先验概率 。请注意,软件供应商知道自己的类型 ,但是第三方平台并不拥有这些信息。相反,第三方平台只知道先验概率软件供应商属于 。让 。(2)软件供应商选择发送信号 通过观察自己的类型 。的信号空间软件供应商 。(3)在第三方平台接收到信号 ,的先验概率修改基于贝叶斯法得到后验概率 。然后,行动 被选中的行动空间 。(4)软件供应商和第三方平台的支付功能 和 ,分别。信号传输动态博弈模型图2

4所示。信号博弈均衡分析

在最优状态,为了提高网络安全,软件供应商应积极开发发现漏洞的补丁。然而,一些制造商可能会推迟补丁开发过程,甚至根本不开发补丁为降低成本和发出错误信号掩盖他们的真实意图关于补丁的开发。假设在协作漏洞信息的披露,不积极发展的软件供应商补丁和有一个传播虚假信息的概率 ,也就是说, , , ,和 。根据贝叶斯法,获得了第三方平台的后验概率如下:

所有可能的信号博弈的精炼贝叶斯均衡可以分为三个类别,包括分离均衡、混合均衡和quasiseparation平衡。从上述分析不难看出,第三方平台的后验概率的影响 。这意味着游戏的平衡状态也受到影响 。当 ,游戏提供了一个分离均衡的状态;当 ,游戏提供了一个混合均衡状态;当 ,游戏提供了一个quasiseparation平衡态。因为只有两种类型的软件供应商和只有四个纯策略参与者,精炼贝叶斯均衡不考虑quasiseparation平衡。相反,它只考虑分离和混合平衡(27]。

4.1。分离平衡态

分离的软件供应商战略包括两种情况,即: 和 。自第二例没有实际意义,该模型仅讨论第一个分离均衡。虚假信息传播的概率由软件供应商不积极发展补丁是谁 。建立了分离均衡状态时,软件供应商发送信号和软件供应商发送信号 。第三方平台的后验概率 和 。(1)在第三方平台接收到信号 ,它选择行动的预期回报 。预期的返回所选的行动 数学表示如下: 根据方程(5), ,也就是说,the expected return of the third-party platform during the normal protection period is greater than the expected return disclosed immediately. Its optimal strategy is to select the normal protection period, i.e., 。当第三方平台接收到这封信 ,它选择的预期回报派系 。预期的回报所选择的行动 数学表示如下: 根据方程(6)和假设 。所以, ,第三方平台直接披露的预期收益大于预期收益期正常的保护。最佳策略是选择直接披露,即, 。(2)给定的行动选择第三方平台 ,当 感到满意。软件供应商的收入平衡表示如下:

软件供应商的收入不平衡路径的表示如下:

根据方程(7)和(8),当 ,积极发展的软件供应商补丁发送高意愿信号,而那些不积极发展的软件供应商补丁发出了低意愿的信号。因此,当第三方平台发送一个低信号的软件供应商的意愿并不积极发展补丁,立即收入大于收入披露披露正常保护期间,也就是说, 。当软件供应商的伪装成本不积极发展补丁发送高信号满足 ,和 是游戏的部分精炼贝叶斯均衡。

在这种状态下的分离均衡,第三方平台可以选择正常的保护期间披露的脆弱性信息软件供应商发送高意愿信号和积极发展补丁,并立即披露漏洞信息的软件供应商发送低信号和不积极发展补丁的意愿。为了获得一个正常的保护期内,软件厂商不积极发展补丁开始重视研发、补丁和软件供应商的比例不积极发展补丁在市场上变得越来越小。第三方平台,软件厂商的收入披露立即不积极发展补丁通过发送一个低意愿信号高于收入披露正常保护期间,并没有动机偏离平衡状态。

4.2。池平衡态

池的平衡状态,所有的软件供应商发送相同的信号,不发送补丁开发状态。混合均衡策略包括两种情况,即: 和 。根据假设的理性参与者,类型的软件供应商不会选择发送低意愿信号 ,因此,只有第一种情况是,即。,the software vendors of different types send high willingness signals. At this time, the probability of software vendors who do not actively develop patches to transmit false information is 。游戏显示一个池平衡状态。这两个软件供应商和发送一个信号 ,和第三方平台的后验概率 , , = ,和 。(1)在收到信号后的混合均衡路径,第三方平台选择预期回报的行动和预期收益的行动如下: 根据方程(9),当 , 可以获得。第三方平台的预期收益在常规的保护时间比直接披露的预期回报,和它的最优策略是选择正常保护披露期,也就是说, 。当 , 。这时,第三方平台的最优策略是选择直接披露,这意味着 。(2)给定的行为选择第三方平台 ,也就是说,the posterior probability of the third-party platform满足条件 。软件供应商的收入平衡路径表示如下:

的软件供应商的利润不平衡路径表示如下:

根据方程(10)和(11),很明显, 。这表明软件厂商均衡路径下的收入较低而非平衡路径。因此,有一种强烈的依据他们偏离平衡,这样没有贝叶斯均衡。

给定的行为选择第三方平台 ,也就是说,the posterior probability of the third-party platformα满足条件 。软件供应商的收入平衡路径表示如下:

的软件供应商的利润不平衡路径表示如下:

根据方程(12)和(13),当 ,软件供应商的收入平衡路径下更大的比不平衡路径。因此,没有热情偏离平衡状态。

因此,当 ,和软件供应商的伪装成本,不积极发展补丁发送信号满足高意向 , 是游戏的混合精炼贝叶斯均衡。这个平衡意味着无论软件厂商正在积极研发补丁,它会选择发送高意愿的信号。软件供应商的比例在市场上积极研发补丁 。第三方平台受益于信息披露在常规的保护时间。然而,从长远来看,所有的软件供应商发送高信号,意图和补丁开发的效率降低。

基本模型的分析表明,当发送的伪装成本高信号很低,意图和第三方平台选择正常的保护期间披露的漏洞信息,市场进入混合平衡。在协作的过程中披露漏洞信息,由于信息不对称,第三方平台无法完全评估有关软件供应商的真实情况,导致伪装成本低。如果第三方平台立即披露所有的漏洞信息,支付大量成本。另一方面,第三方平台接收到后高信号,意图推测,软件供应商将积极开发补丁。因此,收入传回软件供应商必须高于接到低意图信号后,即,它满足 ,所以 。当 ,收入差距大,超过的伪装成本软件供应商不积极开发补丁。不管软件供应商的企业责任,所有的软件供应商发送高信号可能不积极发展意图补丁,从而减少整个泄漏修复能力的软件供应商市场,损害社会利益。因此,我们应该缩小收入差距,采取措施,增加软件供应商的损失不积极开发补丁,使软件厂商造成的损失不积极发展补丁但获得正常保护时期接近立即开发补丁的成本 。的伪装成本软件供应商不积极发展补丁大于收入的差别,以满足分离均衡的条件。

5。结论和建议

基于研究关于软件供应商和第三方之间的信号游戏漏洞共享平台信息安全漏洞协作过程中披露,分析两个平衡态,包括分离均衡和池均衡。结果表明,软件供应商的伪装成本不积极研发补丁是一个决定性因素对市场实现分离均衡。当市场提出了分离均衡状态,第三方脆弱性共享平台可以准确判断真实状态的软件供应商基于信号。根据获得的信息,他们可以决定是否披露漏洞在正常时期或立即保护。这种分离平衡态是最理想的状态为第三方平台和软件供应商的合作。当市场呈现出池平衡态,不同类型的软件供应商发送高意向的信号。第三方的收入漏洞共享平台依赖软件供应商的分布在市场上积极研发补丁。基于上述分析,这项工作提出以下建议:(1)管理软件供应商的声誉损失。从上述信号博弈的结果,很明显,软件供应商的声誉损失影响的压缩时间保护。如果经济损失和名誉损失之间的差异发现并利用该漏洞的黑客和意愿降低制造商的声誉损失不积极研究和开发平台的补丁被披露后太大,也就是说, ,它会增加漏洞的范围压缩保护时期,甚至超过原来的保护的范围。这时,第三方平台不能准确压缩保护时期基于可调范围,和声誉损失不再吸引软件厂商的关注。相反,如果差异太小,区间的上限可能比下限小,间隔分离的平衡条件是站不住脚的,软件供应商可能不会承担。一般来说,当第三方平台发现不太愿意软件供应商的声誉损失不是积极研发补丁,它可以使用新闻媒体或现场促销,扩大交流范围的软件供应商的行为。声誉损失太大时,第三方平台可以使用后台调整脆弱的位置信息和减少的注意。在标准化的声誉损失的同时,我们也应该采取措施,鼓励那些不积极发展的软件供应商补丁保护期间积极发展补丁。声誉损失最终有助于整个市场的监管来实现分离均衡。(2)我们建立和完善了补丁研发软件供应商的信用报告制度,提高惩罚不诚实的机制。很明显从上述结论在混合均衡状态,软件供应商的比例补丁在市场积极发展影响的最终收入的第三方平台。当软件供应商的比例积极发展市场的补丁超过某个阈值,第三方脆弱性信息共享平台也可以受益于软件厂商通过选择正常的保护。在混合平衡状态,第三方平台不能判断的类型基于信号的软件供应商。因此,有必要建立和完善补丁研发软件供应商的信用报告系统,记录软件供应商的合规和违反行为,鼓励积极研发的软件供应商补丁,和惩罚的软件供应商不积极研发补丁,以便每个软件供应商的行为。软件供应商的比例积极研发补丁在市场上增加了。即使市场不能达到分离平衡状态,它可以确保社会公共利益要求的第三方脆弱性共享平台。(3)目前,很少有在中国控制漏洞信息披露规定。“国家有关规定”的范围执行还不清楚。第三方平台可能在漏洞信息披露承担潜在的法律风险。根据上述分析,达到分离平衡态的条件之一是使第三方平台低意图信号发送到软件供应商不是积极研发补丁。压缩保护期内的好处是更大的比那些正常的保护。因此,有必要减少 。建议的有关立法应明确责任设置软件供应商,第三方脆弱性信息披露平台,和政府机构,并展示和设计规则系统的网络安全漏洞的披露披露,披露对象,信息披露方法,和信息披露责任豁免。

数据可用性

使用的数据来支持本研究的结果包括在本文中。

的利益冲突

作者宣称没有利益冲突。

确认

这项工作得到了国家社会科学基金批准号下的中国19 gbl236。