Mozilla：披露软件缺陷

上周六，mozilla 基金会的安全事务总监window snyder 表示，在披露安全缺陷方面，软件厂商受到了安全研究人员的完全控制。
　　多年来，软件产业一直在推动制订缺陷披露原则。snyder在shmoocon黑客会议的一次讨论会上说，这些“负责任的披露”计划产生了一些效果，但安全研究人员仍然控制着这一过程。snyder说，一切由安全研究人员说了算，他们控制着披露时间，他们控制着厂商是否有足够的发布时间。

　　公布缺陷详细资料多年来一直是个热门话题。软件产业提倡秘密地披露，等待厂商发布补丁软件后再公开详细资料，它们称之为“负责任的披露”。提前公布缺陷的详细资料将有助于犯罪分子发动攻击，有损厂商的名誉。snyder说，厂商有责任对向它们通报的缺陷做出及时的回应。

　　但是，并非所有的人都认可“负责任的披露”原则。安全软件厂商immunity的dave aitel表示，这是软件厂商的一个圈套。“负责任的披露”有利于微软和其它大软件厂商，它们希望控制这一过程。

　　aitel说，安全研究人员无需向厂商通报缺陷资料，而是将缺陷信息出售给它。immunity向安全研究人员购买安全缺陷的详细资料，并在其产品中使用这些资料，其中包括能够被用来入侵计算机和网络的渗透测试。

　　tippingpoint安全研究经理rohit dhamankar说，如果企业运用法律武器威胁安全研究人员，这是一种企业无知的典型例子。

　　为了获得针对对手的竞争优势，immunity和tippingpoint等公司都向安全研究人员购买缺陷资料。通过购买缺陷资料，它们的产品能够早于其它产品和在官方补丁软件发布前探测到缺陷。

　　veracode的创始人、技术总监chris wysopal表示，如果不公开披露，缺陷就得不到修正。公开披露是使缺陷得到真正修正的唯一途径。

　　snyder说，是厂商有30天的时间发布补丁软件是一个不错的主意，他还呼吁安全研究人员遵守“负责任的披露”原则。