没有过多的喧哗,12月初达成的瓦森纳协定草案,给白帽子带来了便利的一面。
正如去年报道的那样,瓦森纳会谈处在一个冰点,这一情形对it领域是个坏消息,因为挖漏洞和开发漏洞利用工具的发展会受到其影响。
如果按会谈释放出的意思,类似metasploit这样的工具,需要出口许可签名的支持——一个冗长烦闷的流程,令研究人员者陷入官僚做派的漩涡中。
12月早些时候,按照文档记录,一些内容上的修改带来了变化。
在12月的会议中,会议各方同意增加技术备注“本地漏洞的定义,披露与网络事件响应”,并采取了一份修理解声明(双方使用技术列表4.e.1)。
最新版本列出的受控制产品解释了2个令人担忧的表述“不适于应用在漏洞披露或网络事件响应”(4.e.1.a and4.e.1.c) 。
这份清单同时定义了漏洞披露以便允许个人及组织“负责协同补救及执行”,沟通并分析漏洞。
“网络事件响应”也得到了定义,这样个人和组织就可以交换信息以帮助事件响应。
这很重要,因为“在漏洞披露与安全事件应对的交叉领域进行具体解释,使得不再需要有瓦森纳支配的出口控制许可。”
另外,根据12月份的这次修改,对计算机的约束减弱了,部分原因是由于基于性能的出口控制大大落后于新的、更大更快的技术发展速度。