安全研究人员与软件供应商不应再为漏洞而争吵

      在安全研究员和生产这些产品的厂商之间历来有着不可调和的冲突，因为前者向来喜欢寻找厂商新发布软件的漏洞。但是，最近一段时间以来，这些矛盾有了缓和的势头，研究员和厂商之间已经展开了合作。
      Kaminsky在厂商发布补丁之前的几个月提醒软件供应商在DNS（域名系统）中存在着一个致命性的缺陷。
      "在过去数个月内，他和伙伴的做法不仅是出于一种责任更是异常少见。" CNET News的Robert Vamosi在专栏中对Kaminsky这样评价到。有了他们对供应商的提醒厂商才能将安全软件做得更好。
      本周，安全研究员Robert "RSnake" Hansen 和Jeremiah Grossman同意取消即将在纽约举行的OWASP美国安全会议上进行的关于网络攻击的的演说，这是他们新研究出的成果。他们给这个网络攻击起了个名："Clickjacking"。现在， Adobe公司可以在发布针对漏洞的代码之前为一个应用程序创建补丁。如果没有这些，攻击者将掌握对麦克风、网路摄影机和计算机上的音频的控制，Dark Reading网站上的一份报告这样说到。   

      "我一直有一种这样的做事态度。如果发现了一个普通的恶意漏洞，最好的办法只是去讨论它，让它得到公开因而使得更多人关注它。" RSnake在Dark Reading上以第一人称写道："不过，我总是告诉自己，如果我发现类似于远程桌面控制的情况或者是同样坏的什么东西，我是会让供应商知道的。"

      大部分研究人员与厂商之间的冲突都归结为时间。研究人员之所以招来厂商的憎恶就是因为他们抢先找到了软件中存在的漏洞。对此，供应商们十分希望研究人员能够保持缄默，直到他们做好修复的准备。研究人员则希望将这些漏洞尽早公之于众以便让依赖这些产品的人们了解自己正处于多么危险的境地。同时，将问题公之于众也可以对厂商们起到激励的作用，免得他们在确认和修复问题上拖拖拉拉地迟迟不给回复。

未经允许不得转载：DOIT » 安全研究人员与软件供应商不应再为漏洞而争吵