安全专家称不再向厂商免费提供漏洞信息

简介: 北京时间3月25日消息,据国外媒体报道,日前三个业界知名安全专家称,对于商用产品中发现的漏洞信息,不再向厂商免费提供。安全专家迪诺·佐威(Dino Dai Zovi)、查理·米勒(Charlie Miller)和亚历克斯·索特威(Alex Sotirov)表示,不再向厂商免费提供其产品中的安全漏洞信息,除非厂商肯制定机制来对他们的工作进行补偿。

北京时间3月25日消息,据国外媒体报道,日前三个业界知名安全专家称,对于商用产品中发现的漏洞信息,不再向厂商免费提供。

安全专家迪诺·佐威(Dino Dai Zovi)、查理·米勒(Charlie Miller)和亚历克斯·索特威(Alex Sotirov)表示,不再向厂商免费提供其产品中的安全漏洞信息,除非厂商肯制定机制来对他们的工作进行补偿。米勒则已经将这种想法付诸行动,在发现了一个安全漏洞后并未告知厂商,并且在不久前的黑客大赛上成功利用该漏洞实现了入侵,并因此而获得了一台MacBook和5000美元奖金。

不过,这些安全专家不建议安全研究人员拿着已经发现的漏洞来向厂商索要补偿,因为这种做法有时候会被看做敲诈。

佐威在其博客中表示,需要更合法、更透明的方式来向安全研究工作付费,这样才能体现安全研究者工作发现的价值,并激励更多的安全人员来发现厂商产品中的漏洞,并向它们汇报。

微软目前已经建立了一个内部部门来专门处理由第三方发现的漏洞,并对其进行修复。但许多其它厂商依然继续不把安全研究者的工作当回事。

佐威表示,目前厂商与安全研究者之间的关系,对安全研究人员和软件客户都是不公平的。

他在博客中写到,“专业漏洞搜寻需要花费的精力很大,软件厂商不能不劳而获,无偿从安全研究人员那里获得其产品的漏洞信息和解决方案,这是不公平的。”

目录
相关文章
|
人工智能 安全 测试技术
|
安全 Linux 网络安全
国家信息安全公布:向日葵爆出执行漏洞,还有什么远程工具值得信赖?
国家信息安全公布:向日葵爆出执行漏洞,还有什么远程工具值得信赖?
国家信息安全公布:向日葵爆出执行漏洞,还有什么远程工具值得信赖?
|
安全 小程序 开发者
能提前发现和修补漏洞 支付宝安全实验室在BlackHat推出两款移动安全工具
近日,在全球顶级黑帽盛会“Blackhat Europe 2019欧洲黑帽大会”上,支付宝安全实验室受邀参会,并分享了两款移动安全工具。
508 0
能提前发现和修补漏洞 支付宝安全实验室在BlackHat推出两款移动安全工具
|
安全 大数据 双11
阿里安全技术平台资深专家玄泰解密:“如何防止信息泄露”
近年来,大规模的个人信息泄漏事件不断发生,由此引发的精准诈骗也经常被媒体报道。有着庞大用户群体和海量交易的阿里巴巴却能独善其身,这背后有什么独门秘籍呢?
4681 0
|
云安全 安全 C++
2008反病毒市场分析:免费VS云安全
计算机病毒从初生到如今已经走过了20多个春秋。20多年的计算机病毒发展历程,见证了中国信息安全市场的成长。时至今日,计算机病毒与反计算机病毒的方方面面都发生了变化,一场由计算机病毒引发的市场争夺战全面打响。
1023 0
|
安全 开发者 Windows
金融安全资讯精选 2018年第三期:上海P2P备案大考来临,新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台
新型KillDisk变种攻击拉丁美洲金融机构,WordPress 发布安全更新版本,如何在阿里云环境下搭建基于SonarQube的自动化安全代码检测平台
2147 0
|
安全 测试技术
安全专家教你如何利用Uber系统漏洞无限制的免费乘坐?
本文讲的是安全专家教你如何利用Uber系统漏洞无限制的免费乘坐?,近日,根据外媒报道,美国一名安全研究人员发现Uber上存在一处安全漏洞,允许发现这一漏洞的任何用户在全球范围内免费享受Uber乘车服务。据悉,这一漏洞首次发现于2016年8月,但是直到本周才被发现者公诸于众。
1824 0
|
安全 Linux 容器
Anomali推出免费STIX/TAXII威胁情报工具
本文讲的是Anomali推出免费STIX/TAXII威胁情报工具,安全公司Anomali在上个月下旬发布了其新的免费的STAXX工具以接收威胁情报馈送,旨在填补信息共享平台 Soltra Edge 的关闭所留下的空白。
2158 0
|
云安全 安全
江民反病毒负责人:云不是万能的!
本文讲的是江民反病毒负责人:云不是万能的,就最近如火如荼的云安全讨论,记者有幸采访到江民科技研发部反病毒中心负责人何公道,就云安全发表见解
1510 0