独立安全研究人员Dino Dai Zovi也对微软这一漏洞披露方法的转变表现支撑,并称“负义务的漏洞披露”是一个有歧义的术语。微软可能通过采用更加明白的漏洞修复期限或为漏洞发明者供给奖金等方法,进一步推动这一漏洞披露方法的进展。
Dai Zovi说,“这决不意味着微软严格定义的安全漏洞披露方法是不负义务的。微软在安全漏洞方面所做的其他调剂也具有积极意义,但在对安全研究人员友爱性方面的政策还远远不如谷歌和Mozilla。”
Mozilla为发明其软件中存在漏洞的研究人员供给最多达3000美元的奖金。谷歌不但为发明其Chrome浏览器中存在漏洞的研究人员供给最多达3133美元的奖金,同时承诺在60天内修复漏洞。通过这些更为机动的方法,谷歌和Mozilla主动邀请研究人员向其报告漏洞。
安全评估机构Independent Security Evaluators的研究人员Charlie Miller认为,微软的声明是一个可喜的变更,但还有一些问题没有解决。例如,“微软为什么不像谷歌和Mozilla那样向漏洞发明者支付奖金?难道微软认为其产品安全性的价值还抵不上支付给报告严重安全漏洞的研究人员的奖金?另外,为什么微软在发明安全漏洞时不能承诺60天内完成修复?”
Miller在接收电话采访时表现,通过与安全研究人员签订合同并向直接报告漏洞者支付奖金,谷歌和Mozilla在必定程度上获得了对漏洞披露的把持。他说,“对我来说,由于我已经具有必定的著名度,在漏洞报告中署上我的名字没有任何用处。因此,我可不愿花几个星期的时间寻找并向微软报告漏洞。”
相关阅读