安全公司或團隊都有自己的保密漏洞庫嗎?
比如參加一些國際黑客大賽時,可以在十幾秒內攻破一個最新安全補丁升級後的系統,那麼很顯然是這些參賽者事先發現了一些漏洞,而並沒有公開提交,然後參賽時使用才能辦到吧?(20秒以內發現零日漏洞難度很大吧。。。)
那麼,這種行業現狀到底和主張公開漏洞的開源精神算不算一種理想向現實的妥協呢?知乎上的安全團隊也會有這種漏洞技術儲備嗎?在整個行業里,這種保密漏洞和公開漏洞的質量和數量相比怎麼樣呢?反過來說,這些漏洞儲備在科技公司里,可以被視作公司資產或者商業機密,得到保護嗎?
爪機答一個。
&> 比如參加一些國際黑客大賽時,可以在十幾秒內攻破一個最新安全補丁升級後的系統,那麼很顯然是這些參賽者事先發現了一些漏洞,而並沒有公開提交,然後參賽時使用才能辦到吧?(20秒以內發現零日漏洞難度很大吧。。。)回答:對。
&> 那麼,這種行業現狀到底和主張公開漏洞的開源精神算不算一種理想向現實的妥協呢?
回答:目前主流的主張是no more free bugs,出處自行搜索。開源不等於免費,軟體開發、漏洞挖掘也是勞動,為什麼要免費給你?妥協?用合法勞動換取匹配的報酬就算妥協嗎?
&> 知乎上的安全團隊也會有這種漏洞技術儲備嗎?
回答:會。
&> 在整個行業里,這種保密漏洞和公開漏洞的質量和數量相比怎麼樣呢?
回答:看下圖(正規安全公司的收購漏洞價格參考),換做是你會把價值50萬美刀的漏洞輕易公開嗎?就算不差錢,也應該遵循負責任的漏洞紕漏態度和操作辦法,在廠商修補好漏洞、推送了補丁之後一段時間、經過廠商授權允許了才能公開。保密和公開都有各自的目的和考慮,這個問題就不展開來說了,懂得自然懂,不懂得只需要知道漏洞是武器,負責任的安全研究者不會濫用武器的,不負責任的人就不好說了。
&> 反過來說,這些漏洞儲備在科技公司里,可以被視作公司資產或者商業機密,得到保護嗎?
回答:看了上圖之後,你覺得呢?當然,漏洞如果有補丁了之後價值就會有很大折扣了,折舊率自然可能會高一些,不是財會專業,不會算錢。
並沒有什麼用
小範圍掌握,比如IOS10.2無需重啟越獄,這個0DAY,就掌握在少數人手裡,價值超過50萬$
誠邀回答
其實我只是剛進入信息安全行業的應屆生,得到了一家信息安全行業的公司的offer,對於信息安全公司是否有自己的保密庫我也不清楚
「主張公開漏洞的開源精神」 這是誰的主張?和開源精神有什麼關係?
推薦閱讀:
※網路遊戲的數據包通信協議定義有哪些資料可以參考?
※如何禁止自己的開源項目的衍生品使用GPL-like(LGPL除外)協議?
※.Net 新一代編譯器 Roslyn 會帶來怎樣的影響?
※有哪些有趣的開源機器人項目?
※把程序做成開源的,對程序作者有什麼好處呢?
TAG:信息安全 | 開源 | 漏洞 | 白帽黑客WhiteHat | 網路安全公司 |