现在国内做安全的都这么肆无忌惮吗？发现有漏洞就直接提交公布？

提交漏洞有奖励吧～ 发现漏洞 打补丁就可以。你和客户承诺售后 协商一下

难道要用你东西用出问题 再解决么

什么意思？没理解

@lifeintools 直接发布了，通过别的平台公布知道的，这难道没有侵犯我们的权益吗？

说不定客户请的渗透测试来砍价。

@Counter #3
意思就是，应该先通知作者，而不是在公共平台上公开发布。
后半段就比较恶心了，“难道要用你东西用出问题 再解决么” +1

其实讲道理，未授权的渗透测试告一个一个准。挂靠党政军的更是。直接跨省提人。敢公布一般都是实名制，能查到

@183387594 那公布了造成损失谁负责呢？协商都没有，直接发布。而且安全圈子各种平台，只要出现有就全网覆盖。

@est 真的吗？我改天就找律师，好多同行都是被他们搞怕了，本来开源都加密文件了。

我开始明白为什么国内乌云做不下去了

你研究下乌云怎么倒闭的, 原装操作

直接提交第三方的可能也是担心碰上世纪佳缘那一出？

@yukiww233 乌云也有时间轴的。向厂商反馈更新是必须做的一个步骤

@est 好像并不是未授权，他说是开源，开源白盒挖洞不就行了

@ferock 讲道理，不应该是厂家修复后再公布吗？他通知厂家，修复完，他公布，这个其实没啥矛盾，而且更安全，为啥就直接公布呢？实在搞不懂。

还记得大明湖畔的“乌云网站”吗？

@yukiww233 #10

劣根性，没办法。那还不如 github 直接提 issue 呢

@yukiww233 做法实在不考虑厂家客户利益关系，通知完就公布，其实都效益不大。windows 平台漏洞都是伴随着更新才发布的，难道直接就公布了漏洞让别人挖吗

@tocherrygo #15

他通知厂家，修复完，他公布
这个流程没问题。



可你描述的内容后半段吃香就有点难看了。
这显然不是问题本身的错啊，软件的 bug 问题就是客观存在的。
解决问题的办法就是解决掉提问题的人咯？

@ferock 那如果不存在利益关系，正常讨论漏洞修复，他们为何刺激漏洞提交而发布奖励？我要不关心客户利益，我们公司也得运营，也得花钱。不能说，我公司程序员写的 bug 被别人发现造成客户损失，反倒让公司程序员花钱赔吧？整个逻辑流程就是：系统做出来了，也给客户用了，被安全人员审计代码发现问题，提交漏洞平台，被其他人看见，利用漏洞造成客户损失，客户找我们赔偿。难道我们不应该找发布漏洞的人一个说法吗？我觉得安全平台发布漏洞存在问题，不应该把详细内容公布，另外还应该修复完再发布。