据国外媒体报道,日前三个业界知名安全专家称,对于商用产品中发现的漏洞信息,不再向厂商免费提供。
安全专家迪诺·佐威(Dino Dai Zovi)、查理·米勒(Charlie Miller)和亚历克斯·索特威(Alex Sotirov)表示,不再向厂商免费提供其产品中的安全漏洞信息,除非厂商肯制定机制来对他们的工作进行补偿。米勒则已经将这种想法付诸行动,在发现了一个安全漏洞后并未告知厂商,并且在不久前的黑客大赛上成功利用该漏洞实现了入侵,并因此而获得了一台MacBook和5000美元奖金。
不过,这些安全专家不建议安全研究人员拿着已经发现的漏洞来向厂商索要补偿,因为这种做法有时候会被看做敲诈。
佐威在其博客中表示,需要更合法、更透明的方式来向安全研究工作付费,这样才能体现安全研究者工作发现的价值,并激励更多的安全人员来发现厂商产品中的漏洞,并向它们汇报。
微软目前已经建立了一个内部部门来专门处理由第三方发现的漏洞,并对其进行修复。但许多其它厂商依然继续不把安全研究者的工作当回事。
佐威表示,目前厂商与安全研究者之间的关系,对安全研究人员和软件客户都是不公平的。
他在博客中写到,“专业漏洞搜寻需要花费的精力很大,软件厂商不能不劳而获,无偿从安全研究人员那里获得其产品的漏洞信息和解决方案,这是不公平的。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
相关推荐
-
新libSSH漏洞可获取服务器root访问权限
隐蔽近五年的libSSH漏洞可让恶意攻击者通过SSH服务器进程轻松获取对设备的管理控制。 NCC集团安全顾问P […]
-
“Redirect to SMB”漏洞影响所有版本的Windows
新的“Redirect to SMB(重定向到SMB协议)”漏洞是18年前发现的一个漏洞的变种,可导致所有版本的Windows遭受中间人攻击。
-
识别漏洞与缺陷 更好的进行安全管理
现在软件安全市场中的大部分重点都放在发现和修复漏洞上,但其实软件设计和架构中的缺陷问题也占据很大比率。
-
Blue Coat披露“一日游”网站带来的安全风险
Blue Coat安全实验室发布了最新报告《“一日游”主机:恶意软件如何在短命网站中隐藏自己》,其中详细说明了这些“短命”网站的本质和活动。