北京时间3月25日消息,据国外媒体报道,日前三个业界知名安全专家称,对于商用产品中发现的漏洞信息,不再向厂商免费提供。
安全专家迪诺·佐威(Dino Dai Zovi)、查理·米勒(Charlie Miller)和亚历克斯·索特威(Alex Sotirov)表示,不再向厂商免费提供其产品中的安全漏洞信息,除非厂商肯制定机制来对他们的工作进行补偿。米勒则已经将这种想法付诸行动,在发现了一个安全漏洞后并未告知厂商,并且在不久前的黑客大赛上成功利用该漏洞实现了入侵,并因此而获得了一台MacBook和5000美元奖金。
不过,这些安全专家不建议安全研究人员拿着已经发现的漏洞来向厂商索要补偿,因为这种做法有时候会被看做敲诈。
佐威在其博客中表示,需要更合法、更透明的方式来向安全研究工作付费,这样才能体现安全研究者工作发现的价值,并激励更多的安全人员来发现厂商产品中的漏洞,并向它们汇报。
微软目前已经建立了一个内部部门来专门处理由第三方发现的漏洞,并对其进行修复。但许多其它厂商依然继续不把安全研究者的工作当回事。
佐威表示,目前厂商与安全研究者之间的关系,对安全研究人员和软件客户都是不公平的。
他在博客中写到,“专业漏洞搜寻需要花费的精力很大,软件厂商不能不劳而获,无偿从安全研究人员那里获得其产品的漏洞信息和解决方案,这是不公平的。”
