根據(jù)最新發(fā)布的報告，英特爾從自身產(chǎn)品中發(fā)現(xiàn)的絕大多數(shù)安全漏洞（92%）已經(jīng)連續(xù)第二年由內部研究與外部漏洞獎勵計劃所貢獻。

　　根據(jù)英特爾發(fā)布的《2020年產(chǎn)品安全》報告，年內發(fā)現(xiàn)的231個漏洞中，有109個由英特爾內部員工發(fā)現(xiàn)（47%），有105個源自漏洞獎勵計劃中的外部研究人員貢獻（45%）。雖然沒有明確公開各個獎勵計劃中的具體投入，但英特爾透露其年均漏洞發(fā)現(xiàn)獎勵金額已經(jīng)達到80萬美元。

　　英特爾平臺保證與安全部門（PAS）的安全通信主管Jerry Bryant表示，該公司后續(xù)將繼續(xù)采取這種多管齊下的安全提升方法。

　　他解釋道，“安全絕不是一次性投資。我們需要以良好的安全開發(fā)實踐作為出發(fā)點廣泛考量安全問題，并將安全意識納入企業(yè)的整體思維模式。此外，投資漏洞管理流程并對預發(fā)布/已發(fā)布產(chǎn)品開展持續(xù)安全研究也是不可或缺的重要環(huán)節(jié)。”

　　報告強調稱，漏洞獎勵計劃對于應用程序乃至軟件開發(fā)廠商的安全意義正不斷提升。五年之前，企業(yè)還在激烈爭論這類計劃到底有沒有作用，但如今大多數(shù)廠商都已高度關注與外部研究人員之間的合作關系。

　　英特爾于2018年啟動了自己的漏洞獎勵計劃，并同步建立起產(chǎn)品保證與安全部門。從報告結果來看，此番努力已經(jīng)帶來回報。過去兩年中，通過內部規(guī)程與外部漏洞獎勵計劃發(fā)現(xiàn)的漏洞數(shù)量大體相同，而且2020年通過漏洞獎勵計劃上報的漏洞數(shù)量增長達三分之一（2019年為70個）。

　　不同于主要關注復雜固件或硬件漏洞（大多影響處理、網(wǎng)絡、圖形平臺等英特爾核心業(yè)務區(qū)間）的內部研究規(guī)程，外部研究人員一般更關注軟件驅動程序。報告指出，有69%的固件相關問題與57%的硬件安全問題來自英特爾內部研究人員的發(fā)現(xiàn)。

　　英特爾在報告中提到，“外部研究人員發(fā)現(xiàn)的問題主要集中在軟件層面，特別是用于圖像、網(wǎng)絡與藍牙組件的軟件實用程序與軟件驅動程序。與之對應，數(shù)據(jù)表明我們的內部安全研究主要關注作為平臺可信度基礎的產(chǎn)品固件問題。”

　　在英特爾內部研究與漏洞獎勵計劃之外，研究人員單獨上報了17個安全漏洞。英特爾表示，這部分研究人員主要來自英特爾合作伙伴、客戶以及未參加獎勵計劃的其他組織。

　　安全漏洞（共93個）集中出現(xiàn)在驅動程序及其他軟件組件層面，有66個與固件相關，另有58個影響到固件與軟件組合。只有14個漏洞與處理器等硬件直接相關。值得一提的是，硬件漏洞（例如由分支預測執(zhí)行問題所導致的Spectre、Meltdown漏洞）往往很難在產(chǎn)品生產(chǎn)完畢之后進行修復或緩解。

　　總體而言，圖形組件在所發(fā)現(xiàn)的漏洞中占比最高，為22個，近半數(shù)屬于關鍵漏洞。其中最關鍵的幾個漏洞出現(xiàn)在英特爾融合安全與管理引擎（CSME）當中，作為英特爾計算平臺的信任基礎，這套引擎負責將中央處理器、固件以及操作系統(tǒng)彼此隔離開來。

　　2020年，英特爾平臺與軟件共發(fā)現(xiàn)6個關鍵漏洞、80個高風險漏洞、131個中風險漏洞與14個低風險漏洞。報告同時提到，英特爾內部研究人員共發(fā)現(xiàn)了其中2個關鍵漏洞與損害半數(shù)高風險漏洞。

　　英特爾公司計劃繼續(xù)推進安全保障投資，但沒有公布相關計劃的具體預算額度。考慮到通過漏洞獎勵計劃上報的漏洞數(shù)量一直不斷增長，該公司可能需要進一步提升對外部研究人員的總資金額度。

　　Bryant總結道，“相較于從預算角度思考問題，我們更傾向于從提升安全能力出發(fā)，思考如何擴大保護規(guī)模。英特爾產(chǎn)品保證與安全團隊專注于SDL、攻擊性安全研究與漏洞管理等目標，這些目標往往隨時變化，因此無法在報告中以明確的預算形式得到體現(xiàn)。”