企业如何处理自己产品的安全漏洞

发布时间：2014-08-13 15:58:30作者：知识屋

很早就想写关于这个TOPIC（主题）。
安全漏洞为什么一定要纰漏出来--企业如何面对自己产品的安全漏洞

我一直很不解国内的一些软件产家对那些报告给他们产品的安全漏洞的人抱有敌意。企业可能会认为
这是我的产品，你报告安全漏洞是你对我们的侵权，不回复那些报告人的邮件，偷偷补掉这些漏洞是企业的正确举动。
其实，这一切都是对自己产品的不负责任，对用户不负责任。相反，看看国外的[Full-disclosure] 安全邮件列表，为什么要鼓励全面纰漏细节，而且人家纰漏了微软的安全漏洞也没有见到微软去告人家。

细细想来，只因越纰漏越安全，越安全越对用户负责。

1：安全漏洞不是漏洞研究者们发明的，安全研究者只是发现了那些漏洞。说到底是帮企业做了下外部的QA/QC. 这个人不发现漏洞，其他人也早晚会发现。越早发现对企业越有利。假如不及早发现，被怀有恶意的“们”发现，会对用户造成危害，从而影响软件开发商。其根源还是产品有安全。
2：安全漏洞是不能偷偷补掉的，软件安全漏洞是需要安全管理的。您可能开发了N个版本了，某个安全漏洞只影响其中几个版本，用户就需要知道我的软件是否受该漏洞影响，是否需要升级。一般国际上使用的CVE ID 来跟踪某个安全漏洞。您的安全漏洞有CVE ID来跟踪的话，说明您软件的用户群已经挺大了，有一定的影响力。所以，安全漏洞是不能偷偷补掉的，请申请CVE ID。
3：对报告漏洞人的漏洞不理不睬，是对报告人的藐视，及不尊重报告人。安全研究者很生气，后果会很严重。三年前微软对中国的安全漏洞报告人不理不睬的，结果如何呢，后来咱们的安全研究者们在他们圣诞节那天把一个很严重的漏洞直接丢到了[Full-disclosure]，微软同胞们还在度假呢都被紧急叫回来处理这个事件。其实这不是最严重的情况，仅仅只是一个玩笑，假如这个漏洞转到地下去，后果更严重...所以，为了您安心度假，请尊重报告人。

（免责声明：文章内容如涉及作品内容、版权和其它问题，请及时与我们联系，我们将在第一时间删除内容，文章内容仅供参考）