Vultron

Vultron 是一个研究项目，旨在探索创建一个联合的、去中心化的开源协议，以协调漏洞披露 (CVD)。它源自 CERT/CC 数十年协调全球软件漏洞响应的经验。目标是创建一个任何组织都可以使用的协议来协调信息处理系统（软件、硬件、服务等）中漏洞的披露，并建立一个跨独立组织流程和策略的互操作性社区，共同努力协调对漏洞的适当响应。

Vultron 是想法、模型、代码和正在进行的工作的集合，尚未准备好用于生产使用。

Vultron 是 CERT/CC 改进漏洞披露和响应协调工作的延续。我们之前在该领域的工作包括：

• CERT 协调漏洞披露指南（版本 1.0、版本 2.0）

• 优先考虑漏洞响应：利益相关者特定漏洞分类 (SSVC)（版本 1.0、版本 2.0，github）

• 漏洞信息和协调环境 (VINCE)（博客文章，github）

• 各种相关研究，包括

  • 网络安全信息共享：分析协调漏洞披露的电子邮件语料库
  • 漏洞利用时间线的历史分析

最近，CERT/CC 一直致力于将这些知识正式纳入 CVD 协议。这项工作始于基于状态的多方协调漏洞披露模型 (MPCVD)，该模型也以缩写形式出现，即“我们是熟练还是幸运？”解读 ACM 期刊《数字威胁：研究与实践》中漏洞披露的可能历史。 2022 年，我们发布了一系列协调漏洞披露用户故事，这些故事源自我们的流程建模工作和构建 VINCE 的经验。同年，我们发布了设计 Vultron：多方协调漏洞披露协议 (MPCVD)，它作为此存储库中包含的工作的基础。

沃尔创是：

• 一组高级流程，代表协调漏洞披露所涉及的步骤
• 描述这些过程的交互的正式协议
• 一组行为逻辑，可以实现为人类遵循的程序或（在许多情况下）可以执行操作以响应状态变化的代码（在许多情况下）以最少的人类输入
• 一个最小数据模型，用于说明在处理 CVD 病例过程中跟踪参与者状态和整体病例状态所需的信息

以上内容最初均在设计 Vultron：多方协调漏洞披露协议 (MPCVD) 报告中进行了描述。

在这个存储库中，我们正在采取第一步来实现该报告中描述的协议和行为逻辑。目前，工作重点是将形式协议映射到 ActivityPub 协议的语法和语义上。我们朝这个方向迈出的第一步的示例可以在 doc/examples 中找到

Vultron并不是任何特定产品的直接替代品

• 跟踪系统——例如 Bugzilla、Jira
• CVD 或威胁协调工具— 例如 VINCE、MISP
• 漏洞披露计划— 例如 DC3 VDP
• 漏洞披露平台或服务——例如 HackerOne、Bugcrowd、Synack

相反，我们希望 Vultron 能够作为这些系统和服务之间交换漏洞案例协调信息的通用语言。

Vultron 不是漏洞优先级划分工具，尽管它旨在与 SSVC 和 CVSS 等常见优先级划分方案兼容。

Vultron 并不是一个产品，而是一个功能集，可以在各种 CVD 相关产品和服务中实现，以实现它们之间的互操作性。

有关我们在建模、形式化和描述 CVD 过程方面的工作的更多信息，请参阅：

• 设计 Vultron：多方协调漏洞披露协议 (MPCVD) (2022) 是 Vultron 的初始报告。
  • SEI 关于 Vultron 的博客文章 (2022-09-26)
  • Vultron 上的 SEI 播客 (2023-02-24)
• CERT 协调漏洞披露指南（2017 年、2019 年）
• 基于状态的多方协调漏洞披露模型 (MPCVD) (2021)
  • （缩写为）我们是技术精湛还是运气好？解读漏洞披露的可能历史 (2022)
• 协调漏洞披露用户故事 (2022)
• 网络安全漏洞管理生态系统的多方法建模和分析（2019）是我们对 CVD 和相关流程所做的一些相关系统动力学和基于代理的建模的快照。
• 协调漏洞披露是一个并发过程 (2015) 是一个较旧的演讲，它着眼于 CVD 过程的许多先前模型，并展示了我们正式描述 CVD 过程的并发方面的一些早期尝试。

我们仍在为这项工作制定正确的许可模式，但目前，该存储库已包含在随附的版权声明中。

如果您对此主题有任何反馈（包括版权/许可是否导致您在该项目上与我们合作遇到困难），请在问题中告知我们。