修补硬件漏洞比你想象的要难

通过约翰•纽佛(John Neuffer)总裁兼首席执行官

如果你现在解锁你的智能手机，你有多少应用程序需要更新?补丁和更新是我们互联生活的常规部分。但想象一下，如果每次更新都要求你与应用程序制造商、手机服务提供商、手机制造商、手机操作系统提供商以及十几家为你的手机制造电子产品的半导体公司合作，以找出如何在你配置独特的设备上安装应用程序。

寻址硬件漏洞只需要这种跨越巨大范围的独特环境的广泛协作，通常没有应用程序和软件开发人员所享受的对终端用户的直接访问。由于创建和分发硬件漏洞缓解方案所涉及的所有复杂性，在这个领域中开发更新的时间可能超过软件公司创建补丁所需的3个月，这一点也不奇怪。

这里的重点是，制造现代电子产品背后的大脑的半导体公司经常面临更大的挑战。

虽然你可能认为所有的处理器都是一样的，但半导体公司生产的产品适用于各种各样的应用——从数据中心到平板电脑、智能手机等等。此外，在任何给定的处理器“家族”中，都可能有几十种具有独特特性和功能的不同类型。所有这些都依赖于被称为微码的独特操作代码，微码将计算机软件设计的功能转换成数字指令，这些指令实际上可以在内部的微芯片上执行。例如，将智能手机应用程序中的点击和滑动转换为微芯片中的电子运动，就会导致网上商店的购买订单或银行的转账请求，这需要软件、微码和物理芯片之间复杂的相互作用。

当发现硬件漏洞时，半导体公司必须与供应链上的公司合作，以了解整个系统——从硅芯片到微码，一直到软件。

根据根据自愿行业标准建立的通常协议，并符合消费者和企业的最大利益，发现硬件漏洞的网络安全研究人员通常会与制造受影响部件的半导体公司协调，在一个时间表上向公众披露该漏洞。现有的标准和实践称为协同漏洞披露，规定除非已知有人在积极利用漏洞，否则不应该公开漏洞，直到补丁准备好部署。

当前的协调的漏洞披露政策开发的重点是软件漏洞通常建议在公开披露之前，有90天的违约期来开发和发布补丁，但这些政策认识到，一蹴而就的做法并不适用于所有人。毕竟，更大的目标是保护系统不受攻击，而不是为了自身的利益而迅速披露。对于特别复杂的漏洞，例如在硬件中发现的漏洞，应该考虑较长的时间框架。最近的经验表明，在某些情况下，半导体公司可能需要超过90天的时间与所有必要的各方合作，并开发经过良好测试的补丁，以在其芯片运行的不同计算环境中工作。

随着网络安全领域越来越多地关注潜在的硬件漏洞，期望和最佳实践很重要针对这些复杂的挑战被认为是。不幸的是，对半导体漏洞严格应用现有的标准软件公开披露期限，而不考虑行业所面临的独特挑战，最终会限制在公开披露发生之前开发和部署最有效的缓解措施的机会，从而使用户面临风险。

一些SIA成员已经开始与其他成员合作，以更好地了解当今不断变化的环境中硬件漏洞披露的状态，并探索与半导体行业相关的协调披露的增强的、自愿的最佳实践。SIA已经呼吁增加联邦资金用于多个领域的研究，包括推进可信和安全硬件的设计和制造的研究。在此期间，当这项重要工作继续进行时，网络安全研究人员应该强烈考虑与半导体行业密切合作，评估适当的披露时间表，考虑到他们的研究和缓解的独特情况。在我们这个日益互联的世界里，安全依赖于它。