漏洞的價值
漏洞已經變成了一件貴重的商品。近來謠言四起的WMF漏洞（0 day攻擊），就是在公眾根本不知情的情況下展開攻擊的，這個漏洞的資料被賣到了4000美元，盡管這只是一起到目前也沒有經過證實的謠傳。如果這是真實的，我敢打賭這種情況是前無古人的，我也能夠確定它不會后無來者。甚至有像iDefense和3Com這樣的公司愿意從這些安全研究者手中購買未公開發布的漏洞信息。這些情況對于漏洞研究的影響你是怎么認為的呢？不管你以哪種方式去看這個問題，在今天來講，漏洞就是金錢。
雖然iDefense公司和3Com公司提供的程序不能對擁有安全研究小組的公司產生吸引，但他們確實能影響那些獨立的研究者。因為有了這些程序，獨立研究者就可以全身心地投入這種研究中。倘若他很擅長于找出漏洞，他就能夠以此為職業，這種研究工作也就變成專職的工作了。我想這是非常可怕的。
漏洞的道德規范
一些人可能會對隱藏在販賣漏洞信息之后的道德規范產生置疑。安全研究者不應該昧著良心透露漏洞的信息不是嗎？也許是吧。不是這樣的話難道我們應該期望安全研究者來審查商業軟件是盈利銷售還是免費嗎？如果認為漏洞信息的銷售有礙道德規范，那么我首先要問的就是那些銷售非常不安全、沒有保障的軟件符合什么道德？當然我們知道，開發完全沒有漏洞的軟件是不可能的，顯而易見，那些公司也不要絞盡腦汁去開發安全產品，這樣，道德問題也就不會與公司糾纏了，它僅僅集中在問題的底線上。開發安全產品需要時間和金錢，軟件公司不喜歡花費時間和金錢來解決這些問題，除非在這條底線上有了激烈的碰撞。
你會站在哪一邊呢？你相信漏洞僅僅在公開之后才成為一種真正的威脅？還是相信無論是否公開都是都會產生威脅？
為什么我們需要負責任地公開暴露漏洞？
作為我自己來講，我相信這些漏洞在它們被公開暴露很久之前就會對我們產生真正的威脅。公開暴露這些漏洞把公眾推倒了浪尖上，很久以后該軟件的開發商才會注意到此事，數月甚至數年過去了，他們都不會發出任何公開申明，看起來好像他們根本就不知道此事而只顧著牟利。這種情況看起來好像是軟件開發商對于這種不安全軟件轉移責任的一種嘗試或者一種可憐的補救方法。這里的底線，就是當一個漏洞被發現并且報告給了軟件經銷商之后，不管是否有人決定把這個消息公之于眾，系統仍舊處于易受到攻擊的狀態。
在這里澄清一下，我沒有說過在把一個漏洞攻擊報告給開發商之前報告給Bugtraq是一種合理的做法。我也沒有說過這不會使公眾處于危險的狀態。修復這些問題需要時間，我也不會低估盡力給傳播廣泛的商用軟件制作補丁的難度。然而，這里會有一些局限性，也就是說，開發商逃避現實的做法和拒絕承認已經公開的漏洞不會對任何人有幫助。
我想，現在已經是開發商在發布補丁之前開始承認這些問題的時候了，特別是那些已經花費了他們數月之久、或者有些已經超過了一年的時間還沒有完成的補丁。至少他們應該承認問題的存在，并且為人們提供一些保護的措施。
最后，我相信那些安全研究者幫了我們的大忙。他們應該得到一些報酬。雖然負責任地公布漏洞信息是很重要的，對于一個負責任的銷售商來講，響應時間也是一個限制因素，因為在漏洞被暴露之前很久公眾就已經處在危險之中了。最后我要說的是，安全研究者不是制造了漏洞的人，正是他們發現了這些漏洞。
作者簡介：
Jason Miller管理著SecurityFocus的Focus IDS郵件列表，他也是賽門鐵客公司的威脅分析專家。

68476636-8007）