昨天介紹了國內兩個可以協助處理漏洞的組織，今天就來介紹幾個國外的，首先就是鼎鼎大名的MITRE。

講到MITRE大家可能沒聽過，但講到CVE大家一定有聽過了吧（沒聽過也沒關係之後也會介紹），沒錯！MITRE就是維運CVE計畫背後的組織。MITRE是一個FFRDC[註]，與美國政府的合作密切，也協助其官方進行多項資安相關研究，並透過與公私部門間合作，來克服影響國家安全的資安挑戰。其實不只CVE，最近逐漸崛起的ATT&CK架構也是他們的研究計畫之一。

MITRE除維運CVE計畫，本身也是能夠發布CVE編號的CNA，所以如果發現了漏洞的話可以透過網頁表格或是Email等方式通報給他們，這時請大家回想一下，是不是還記得我們在Day1的時候有提到，CVE對於漏洞的定義是一存在於軟硬體元件運算邏輯（例如程式碼）中的弱點，當弱點被利用時，會導致資料的機密性、完整性或可用性產生負面影響，且還要通過8個判斷標準才能被認定是一個漏洞，因此，當一個漏洞被通報到MITRE時，並不一定會被處理，而且MITRE的主要目標是發布CVE編號給該漏洞，所以也不保證會督促廠商把漏洞進行修補。

通報漏洞給MITRE：https://cve.mitre.org/cve/request_id.html

這時我們發現跟國內通報一樣的問題，那就是如果漏洞不符合MITRE的標準而不被處理時應該要怎麼辦呢？最快的方法其實就是去找各國的CERT協助處理，例如如果發現某個美國網站有漏洞，就可以直接找美國的CERT，也就是US-CERT來協助處理。

如果沒有特別想要幫漏洞拿到CVE編號，也覺得自己直接跟廠商溝通漏洞沒差的話，也可以選擇直接通報給廠商，通常夠大的國際廠商都會直接在官網上註明漏洞通報的方式。

有些人可能會覺得奇怪，既然直接通報給廠商就好，為什麼還要花兩天的文章來介紹這些可以通報漏洞的管道呢？其實這是有原因的。首先，對於通報者來說，有些人不想洩漏自己的身分，而且以個人身分聯繫廠商可能比較不會受到重視；接著，對於通報廠商來說，並不是所有的廠商都樂於見到自己的產品被挖掘出漏洞，甚至有些廠商會抱持著比較負面的想法，認為通報者是在故意搞破壞，更甚者可能會想告上法庭，在這種狀況下，透過一個具有公信力的中間人來替雙方協調，比較可以避免上述的問題產生。再者，並不是所有的廠商都具有資安觀念，可能會需要有人協助告知一些基礎資安知識，或是協助找到可以協處的資安廠商等，各國的CERT也是可以擔任協助此項任務的腳色之一。

[註]
美國聯邦政府資助研究與發展中心(Federally Funded Research and Development Center, FFRDC)指的是由美國政府出資建立的研究中心，這種研究中心並非政府單位，但必須嚴守美國法律，包含非營利、沒有商業利益衝突、非製造商、不能販賣商品、不能替商業公司工作、不能與產業競爭等數項條件。利用這些方式，政府可以放心把一些較機敏的研究工作交給FFRDC執行或研發，且不用擔心資訊外洩，同時也可以確保研發工作會由有能力的研究單位來進行。

參考資料：
[1] https://www.mitre.org/centers/we-operate-ffrdcs
[2] https://cve.mitre.org/