歐盟的網(wǎng)絡安全機構ENISA在深入研究了漏洞披露的問題后發(fā)布了一份報告，該報告說明了影響漏洞披露者行為的經濟因素，獎勵機制和動機，此外，還就最近披露的高危漏洞（“熔斷”，“幽靈”和“永恒之藍”）做了案例分析，并說明了整個經過。

漏洞披露中的經濟學

它分析了信息安全市場的經濟因素及其與漏洞披露的關系，還探討了如何將古典經濟學概念應用于該問題（公共資源的悲劇，網(wǎng)絡效應，外部性，不對稱信息和逆向選擇，責任傾銷，道德風險）。

ENISA執(zhí)行董事Udo Helmbrecht指出：“經濟學是現(xiàn)代安全的關鍵驅動因素，而經濟因素往往決定了人們解決問題時采取的方法決策。該報告完美地詮釋了這一點，且為漏洞披露領域的各方行為提供了有價值的見解?！?/p>

重要見解

研究人員稱：“總體而言，該研究已經產生了許多重要發(fā)現(xiàn)。首先，該研究表明了以CVD為主的漏洞披露形式的重要性。正如“永恒之藍”案例中所體現(xiàn)的，廣泛存在于軟件和硬件中的漏洞可能會給全球社會造成巨大的危害，因此有必要制定一系列流程來充分識別報告、接收，分類及緩和漏洞危害?！?/p>

其他見解

將漏洞披露視為一個生態(tài)系統(tǒng)是非常重要的。漏洞披露的所有參與方都應認識到建立和運行互利結構的重要性，這些結構能夠實現(xiàn)有效和高效的CVD漏洞披露。

應向參與方提供資源，良好操作實例和自愿標準。

發(fā)現(xiàn)者，協(xié)調方和廠商必須及時以雙方都能理解的語言實現(xiàn)建設性溝通。

確保識別和報告漏洞的研究人員遵守《安全港協(xié)議》并受到法律保護。

大多數(shù)組織應考慮部署CVD流程，有些組織可能想實施漏洞賞金計劃，但不要以干擾開發(fā)和測試階段的其他信息的安全為代價。

雖然CVD和漏洞賞金計劃可以識別某些類型的漏洞，但它們不太可能識別現(xiàn)代計算系統(tǒng)中存在的更大的結構性問題。因此，政府，學術指導和私人組織應繼續(xù)投資長期性的安全研究，以識別和減輕基礎漏洞帶來的危害，例如設計缺陷或協(xié)議漏洞。

該報告撰寫依據(jù)案頭研究，查閱現(xiàn)有文獻（學術研究、技術報告、媒體文章等）以及與漏洞披露界專家（來自學術界、漏洞賞金平臺、漏洞披露計劃運營商、廠商等）的訪談完成。