根據(jù)最新發(fā)布的報(bào)告，英特爾從自身產(chǎn)品中發(fā)現(xiàn)的絕大多數(shù)安全漏洞（92%）已經(jīng)連續(xù)第二年由內(nèi)部研究與外部漏洞獎(jiǎng)勵(lì)計(jì)劃所貢獻(xiàn)。

　　根據(jù)英特爾發(fā)布的《2020年產(chǎn)品安全》報(bào)告，年內(nèi)發(fā)現(xiàn)的231個(gè)漏洞中，有109個(gè)由英特爾內(nèi)部員工發(fā)現(xiàn)（47%），有105個(gè)源自漏洞獎(jiǎng)勵(lì)計(jì)劃中的外部研究人員貢獻(xiàn)（45%）。雖然沒(méi)有明確公開(kāi)各個(gè)獎(jiǎng)勵(lì)計(jì)劃中的具體投入，但英特爾透露其年均漏洞發(fā)現(xiàn)獎(jiǎng)勵(lì)金額已經(jīng)達(dá)到80萬(wàn)美元。

　　英特爾平臺(tái)保證與安全部門(mén)（PAS）的安全通信主管Jerry Bryant表示，該公司后續(xù)將繼續(xù)采取這種多管齊下的安全提升方法。

　　他解釋道，“安全絕不是一次性投資。我們需要以良好的安全開(kāi)發(fā)實(shí)踐作為出發(fā)點(diǎn)廣泛考量安全問(wèn)題，并將安全意識(shí)納入企業(yè)的整體思維模式。此外，投資漏洞管理流程并對(duì)預(yù)發(fā)布/已發(fā)布產(chǎn)品開(kāi)展持續(xù)安全研究也是不可或缺的重要環(huán)節(jié)。”

　　報(bào)告強(qiáng)調(diào)稱(chēng)，漏洞獎(jiǎng)勵(lì)計(jì)劃對(duì)于應(yīng)用程序乃至軟件開(kāi)發(fā)廠商的安全意義正不斷提升。五年之前，企業(yè)還在激烈爭(zhēng)論這類(lèi)計(jì)劃到底有沒(méi)有作用，但如今大多數(shù)廠商都已高度關(guān)注與外部研究人員之間的合作關(guān)系。

　　英特爾于2018年啟動(dòng)了自己的漏洞獎(jiǎng)勵(lì)計(jì)劃，并同步建立起產(chǎn)品保證與安全部門(mén)。從報(bào)告結(jié)果來(lái)看，此番努力已經(jīng)帶來(lái)回報(bào)。過(guò)去兩年中，通過(guò)內(nèi)部規(guī)程與外部漏洞獎(jiǎng)勵(lì)計(jì)劃發(fā)現(xiàn)的漏洞數(shù)量大體相同，而且2020年通過(guò)漏洞獎(jiǎng)勵(lì)計(jì)劃上報(bào)的漏洞數(shù)量增長(zhǎng)達(dá)三分之一（2019年為70個(gè)）。

　　不同于主要關(guān)注復(fù)雜固件或硬件漏洞（大多影響處理、網(wǎng)絡(luò)、圖形平臺(tái)等英特爾核心業(yè)務(wù)區(qū)間）的內(nèi)部研究規(guī)程，外部研究人員一般更關(guān)注軟件驅(qū)動(dòng)程序。報(bào)告指出，有69%的固件相關(guān)問(wèn)題與57%的硬件安全問(wèn)題來(lái)自英特爾內(nèi)部研究人員的發(fā)現(xiàn)。

　　英特爾在報(bào)告中提到，“外部研究人員發(fā)現(xiàn)的問(wèn)題主要集中在軟件層面，特別是用于圖像、網(wǎng)絡(luò)與藍(lán)牙組件的軟件實(shí)用程序與軟件驅(qū)動(dòng)程序。與之對(duì)應(yīng)，數(shù)據(jù)表明我們的內(nèi)部安全研究主要關(guān)注作為平臺(tái)可信度基礎(chǔ)的產(chǎn)品固件問(wèn)題?！?/p>

　　在英特爾內(nèi)部研究與漏洞獎(jiǎng)勵(lì)計(jì)劃之外，研究人員單獨(dú)上報(bào)了17個(gè)安全漏洞。英特爾表示，這部分研究人員主要來(lái)自英特爾合作伙伴、客戶(hù)以及未參加獎(jiǎng)勵(lì)計(jì)劃的其他組織。

　　安全漏洞（共93個(gè)）集中出現(xiàn)在驅(qū)動(dòng)程序及其他軟件組件層面，有66個(gè)與固件相關(guān)，另有58個(gè)影響到固件與軟件組合。只有14個(gè)漏洞與處理器等硬件直接相關(guān)。值得一提的是，硬件漏洞（例如由分支預(yù)測(cè)執(zhí)行問(wèn)題所導(dǎo)致的Spectre、Meltdown漏洞）往往很難在產(chǎn)品生產(chǎn)完畢之后進(jìn)行修復(fù)或緩解。

　　總體而言，圖形組件在所發(fā)現(xiàn)的漏洞中占比最高，為22個(gè)，近半數(shù)屬于關(guān)鍵漏洞。其中最關(guān)鍵的幾個(gè)漏洞出現(xiàn)在英特爾融合安全與管理引擎（CSME）當(dāng)中，作為英特爾計(jì)算平臺(tái)的信任基礎(chǔ)，這套引擎負(fù)責(zé)將中央處理器、固件以及操作系統(tǒng)彼此隔離開(kāi)來(lái)。

　　2020年，英特爾平臺(tái)與軟件共發(fā)現(xiàn)6個(gè)關(guān)鍵漏洞、80個(gè)高風(fēng)險(xiǎn)漏洞、131個(gè)中風(fēng)險(xiǎn)漏洞與14個(gè)低風(fēng)險(xiǎn)漏洞。報(bào)告同時(shí)提到，英特爾內(nèi)部研究人員共發(fā)現(xiàn)了其中2個(gè)關(guān)鍵漏洞與損害半數(shù)高風(fēng)險(xiǎn)漏洞。

　　英特爾公司計(jì)劃繼續(xù)推進(jìn)安全保障投資，但沒(méi)有公布相關(guān)計(jì)劃的具體預(yù)算額度。考慮到通過(guò)漏洞獎(jiǎng)勵(lì)計(jì)劃上報(bào)的漏洞數(shù)量一直不斷增長(zhǎng)，該公司可能需要進(jìn)一步提升對(duì)外部研究人員的總資金額度。

　　Bryant總結(jié)道，“相較于從預(yù)算角度思考問(wèn)題，我們更傾向于從提升安全能力出發(fā)，思考如何擴(kuò)大保護(hù)規(guī)模。英特爾產(chǎn)品保證與安全團(tuán)隊(duì)專(zhuān)注于SDL、攻擊性安全研究與漏洞管理等目標(biāo)，這些目標(biāo)往往隨時(shí)變化，因此無(wú)法在報(bào)告中以明確的預(yù)算形式得到體現(xiàn)?！?/p>