负责任的披露(英语:Responsible disclosure)是计算机安全或其他领域中的一种漏洞披露模型,它限制了漏洞披露的行为,以提供一段时间来修补或修缮即将披露的漏洞或问题。这一特点使之与完全披露(英语:Full disclosure (computer security))模型不同。
硬件和软件的开发人员通常需要一些时间和资源才能修复新发现的错误。而黑客和计算机安全科学家认为,让公众了解高危害的漏洞是其社会责任。隐瞒这些问题可能导致虚假的安全感(英语:Security theater)。为了避免这种情况,相关各方经过协调,就修复漏洞和防止未来发生任何损害达成了一致意见。根据漏洞的潜在影响、开发和应用紧急补丁或变通方案所需要的预计时间,以及其他因素,有限披露时限可能在几天到几个月不等。
负责任的披露未能满足那些希望籍此获得经济补偿的安全研究员,向预计提供赔偿的供应商报告漏洞可能被视为敲诈勒索。虽然安全漏洞市场已经形成,但安全漏洞的商业化仍然是与安全漏洞披露相关的热门话题。在如今,商业漏洞市场有两个主要的参与者,iDefense在2003年启动了漏洞贡献者计划(VCP),而TippingPoint(英语:TippingPoint)在2005年启动了零日计划(ZDI)。上述组织遵循所购买材料的负责任披露流程。2003年3月到2007年12月期间,影响微软和苹果公司的漏洞平均有7.5%由VCP或ZDI处理。 通过支付程序错误赏金(英语:Bug bounty)来支持负责任的披露的独立公司包括Facebook、Google、Mozilla和Barracuda Networks(英语:Barracuda Networks)。
Vendor-sec(英语:Vendor-sec)是一个“负责任的披露”邮件列表。许多计算机应急响应小组(CERT)在协调负责任的披露。
Google Project Zero有90天的披露截止日期,从通知存在安全漏洞的提供商时起算,漏洞的详细信息将在90天后与防御社区公开分享,如果提供商发布了修复程序则会更快。
ZDI有120天的披露截止日期,从收到提供商的响应时起算。
通过“负责任的披露”解决的安全漏洞:
