多年来,软件产业一直在推动制订缺陷披露原则。Snyder在ShmooCon黑客会议的一次讨论会上说,这些“负责任的披露”计划产生了一些效果,但安全研究人员仍然控制着这一过程。Snyder说,一切由安全研究人员说了算,他们控制着披露时间,他们控制着厂商是否有足够的发布时间。
公布缺陷详细资料多年来一直是个热门话题。软件产业提倡秘密地披露,等待厂商发布补丁软件后再公开详细资料,它们称之为“负责任的披露”。提前公布缺陷的详细资料将有助于犯罪分子发动攻击,有损厂商的名誉。Snyder说,厂商有责任对向它们通报的缺陷做出及时的回应。
但是,并非所有的人都认可“负责任的披露”原则。安全软件厂商Immunity的Dave Aitel表示,这是软件厂商的一个圈套。“负责任的披露”有利于微软和其它大软件厂商,它们希望控制这一过程。
Aitel说,安全研究人员无需向厂商通报缺陷资料,而是将缺陷信息出售给它。Immunity向安全研究人员购买安全缺陷的详细资料,并在其产品中使用这些资料,其中包括能够被用来入侵计算机和网络的渗透测试。
TippingPoint安全研究经理Rohit Dhamankar说,如果企业运用法律武器威胁安全研究人员,这是一种企业无知的典型例子。
为了获得针对对手的竞争优势,Immunity和TippingPoint等公司都向安全研究人员购买缺陷资料。通过购买缺陷资料,它们的产品能够早于其它产品和在官方补丁软件发布前探测到缺陷。
Veracode的创始人、技术总监Chris Wysopal表示,如果不公开披露,缺陷就得不到修正。公开披露是使缺陷得到真正修正的唯一途径。
Snyder说,是厂商有30天的时间发布补丁软件是一个不错的主意,他还呼吁安全研究人员遵守“负责任的披露”原则。