消费者物联网：漏洞披露实践“低得无法接受”

物联网安全基金会的一份新报告强调，近 80% 的消费者物联网 (IoT) 公司没有使用漏洞披露来报告安全问题。这项措施被视为供应商对安全性的重视程度的代表，这清楚地表明，要帮助消费者在设备连接到互联网时保持安全，还有很长的路要走。

该报告是 2018 年开始的系列报告中的第四份，研究了消费者物联网中漏洞披露的实践——扩展到企业和 B2B 模型。它通常被视为该行业的网络安全进度晴雨表，因为漏洞披露 - 或在公共渠道宣传可以报告并修复安全漏洞 - 被认为是任何公司向互联市场销售产品的基本卫生机制。

然而，报告称，尽管同比略有改善，但进展仍然缓慢。在接受调查的 315 家公司中，只有 21 家公司能够满足预期的监管要求，例如 ETSI 欧洲标准 (EN) 303 645 和 ISO/IEC 29147:2018 漏洞披露，以及美国 2020 年物联网网络安全改进法案。

IoTSF 报告漏洞披露绿名单公司
在接受调查的 315 家公司中，只有 21 家公司在绿名单上——这些公司能够满足预期的监管要求。
（来源：物联网安全基金会）
IoT 安全基金会董事总经理 John Moor 表示：“我们的共同目标是让 100% 的联网产品 (IoT) 供应商实践良好的安全卫生——在数字化转型时代仅实现 21.6% 只是支持这一呼吁市场监管。”

他说，通过测试的人数少得令人无法接受。“几乎五分之四的公司仍未提供非常基本的安全卫生机制，无法将安全漏洞报告给供应商，以便修复。”

Moor 补充道：“对于所有物联网供应商而言，制定漏洞披露计划的重要性再怎么强调也不为过——这确实是确保用户安全和保护互联产品和服务的重要机制。我们最近还发布了我们修订后的最佳实践指南以及本报告，两者均来自 IoTSF 网站。真的没有无知的借口——尤其是在世界各地的监管要求很快就会