Vultron

Vultron 是一個研究項目，旨在探索創建一個聯合的、去中心化的開源協議，以協調漏洞揭露 (CVD)。它源自於 CERT/CC 數十年協調全球軟體漏洞回應的經驗。目標是創建一個任何組織都可以使用的協議來協調資訊處理系統（軟體、硬體、服務等）中漏洞的披露，並建立一個跨獨立組織流程和策略的互通性社區，共同努力協調對漏洞的適當響應。

Vultron 是想法、模型、程式碼和正在進行的工作的集合，尚未準備好用於生產使用。

Vultron 是 CERT/CC 改善漏洞揭露和回應協調工作的延續。我們先前在該領域的工作包括：

• CERT 協調漏洞揭露指南（版本 1.0、版本 2.0）

• 優先考慮漏洞回應：利害關係人特定漏洞分類 (SSVC)（版本 1.0、版本 2.0，github）

• 漏洞資訊和協調環境 (VINCE)（部落格文章，github）

• 各種相關研究，包括

  • 網路安全資訊分享：分析協調漏洞揭露的電子郵件語料庫
  • 漏洞利用時間軸的歷史分析

最近，CERT/CC 一直致力於將這些知識正式納入 CVD 協議。這項工作始於基於狀態的多方協調漏洞披露模型 (MPCVD)，該模型也以縮寫形式出現，即“我們是熟練還是幸運？”解讀 ACM 期刊《數位威脅：研究與實務》中漏洞揭露的可能歷史。 2022 年，我們發布了一系列協調漏洞揭露使用者故事，這些故事源自於我們的流程建模工作和建構 VINCE 的經驗。同年，我們發布了設計 Vultron：多方協調漏洞揭露協議 (MPCVD)，它作為此儲存庫中包含的工作的基礎。

沃爾創是：

• 一組高階流程，代表協調漏洞揭露所涉及的步驟
• 描述這些過程的交互作用的正式協議
• 一組行為邏輯，可以實現為人類遵循的程序或（在許多情況下）可以執行操作以響應狀態變化的代碼（在許多情況下）以最少的人類輸入
• 一個最小資料模型，用於說明在處理 CVD 病例過程中追蹤參與者狀態和整體病例狀態所需的信息

以上內容最初均在設計 Vultron：多方協調漏洞揭露協議 (MPCVD) 報告中進行了描述。

在這個儲存庫中，我們正在採取第一步來實作該報告中描述的協定和行為邏輯。目前，工作重點是將形式協定對應到 ActivityPub 協定的語法和語意。我們朝這個方向邁出的第一步的範例可以在 doc/examples 中找到

Vultron並不是任何特定產品的直接替代品

• 追蹤系統——例如 Bugzilla、Jira
• CVD 或威脅協調工具— 例如 VINCE、MISP
• 漏洞揭露計畫— 例如 DC3 VDP
• 漏洞揭露平台或服務－例如 HackerOne、Bugcrowd、Synack

相反，我們希望 Vultron 能夠作為這些系統和服務之間交換漏洞案例協調資訊的通用語言。

Vultron 不是漏洞優先劃分工具，儘管它旨在與 SSVC 和 CVSS 等常見優先劃分方案相容。

Vultron 並不是一個產品，而是一個功能集，可以在各種 CVD 相關產品和服務中實現，以實現它們之間的互通性。

有關我們在建模、形式化和描述 CVD 過程方面的工作的更多信息，請參閱：

• 設計 Vultron：多方協調漏洞揭露協議 (MPCVD) (2022) 是 Vultron 的初步報告。
  • SEI 關於 Vultron 的部落格文章 (2022-09-26)
  • Vultron 上的 SEI 播客 (2023-02-24)
• CERT 協調漏洞揭露指南（2017 年、2019 年）
• 基於狀態的多方協調漏洞揭露模型 (MPCVD) (2021)
  • （縮寫為）我們是技術精湛還是運氣好？解讀漏洞揭露的可能歷史 (2022)
• 協調漏洞揭露使用者故事 (2022)
• 網路安全漏洞管理生態系統的多方法建模和分析（2019）是我們對 CVD 和相關流程所做的一些相關係統動力學和基於代理的建模的快照。
• 協調漏洞揭露是一個並發過程 (2015) 是一個較舊的演講，它著眼於 CVD 過程的許多先前模型，並展示了我們正式描述 CVD 過程的並發方面的一些早期嘗試。

我們仍在為這項工作制定正確的許可模式，但目前，該儲存庫已包含在隨附的版權聲明中。

如果您對此主題有任何回饋（包括版權/許可是否導致您在該專案上與我們合作遇到困難），請在問題中告知我們。