现在国内做安全的都这么肆无忌惮吗？发现有漏洞就直接提交公布？

我觉得安全平台发布漏洞存在问题，不应该把详细内容公布，另外还应该修复完再发布。


这个流程是对的。
可“乌云”本来就是按照这种流程走，还是被你这样“难道我们不应该找发布漏洞的人一个说法吗？”的人弄关闭的。
所以，历史已经用血淋淋的事实告诉我们，即使走了你刚刚说的流程，结果还是，关闭！

@tocherrygo 你们产品叫啥

1. 为名（在安全圈混个名气）
2. 为利（个大 SRC 平台的漏洞报告奖励）
3. 提升技术（炫下下代码审计技术）

------
我觉得，用“法律途径”有点夸张和“不仁道”，既然是开源的，咱们收到别人提交的漏洞，那就参考别人的建议（一般热心白帽子哥哥们都会在最后附带漏洞的修补建议）给代码改改，或者尝试联系对方请对方喝个小咖啡发个小礼物以示感谢，个人觉得比直接走“法律途径“好得多，这样用户看到了也更乐意使用你们的程序，互赢互利大好结局

@ferock 谢谢解答，乌云我知道这个平台，以前很火。关闭的问题我不清楚具体情况，国内安全圈子好像有 GJ 支持，按理说做法合理，没人会找麻烦。我知道的是白帽有时就是黑帽，没办法，这东西实在不好说，我也是发出来大家讨论。

@im3x 我也是这么想的，实在他们不按规则走。直接发布，让平台通知我们。平台直接发布，我们修都没来得及修，全网知道了。

@fate 垃圾产品不值一提，实则这件事被恶心到。

@tocherrygo 自己不反思下为什么产品刚发布就有漏洞的吗？起码人家挖到漏洞了还会提交通知你，按照道理不应该是谢谢挖到漏洞的白帽子，然后建立完整的漏洞提交体系来完善产品吗？你们还要找律师搞人家？就你们这种对安全的态度谁 TM 敢用你们的产品？那我请问下如果是因为你们家产品漏洞导致客户网络边界被打穿，数据被拖机密被窃取你们会负责吗？ 求你了把你们产品名字发出来让大家避个坑吧。

按流程, 提交人和平台知会你了, 在你确认修复之前不会公开漏洞细节.

但是客户(包括潜在客户)是有知情权的哦?

咋滴, 不公开就是没漏洞?

你先去告平台。咨询下律师吧。未经授权测试 未经授权发布 都是违法的

@fate 请认真看题目，你做啄木鸟找虫子没关系，别把树啄死了。

先解决提出问题的人哈哈 xswl
人家凭什么不能公开呢？你抛弃掉所谓做安全的头衔，人家不也是个普通用户么，普通用户发现你一个漏洞，人家跟你们反馈不是人家的义务，就算直接公布也没有什么问题，没带头搞崩你们就很不错了
有问题，就解决问题，觉得人家公开不好，那就把你们的协议定好，SRC 建好，流程平台搭好，奖励走起，说公德心的都 tm 是在耍流氓

@tocherrygo 起码人家没有恶意利用漏洞去撸使用了你产品的用户吧，这还是国内，要是你的产品有政企事业单位采用，被国外的黑客爆漏洞了，你还要去找律师告人家？错了就要认，挨打要立正。不管有没有漏洞直接提交给你们，你对于安全的态度就很恶心，我觉得你也应该给客户发个公告，各位客户请放心，我们已经联系律师准备告发布漏洞的白帽子了，相信以后他们挖到漏洞不会再发出来，而是偷偷利用去拖你们的数据了。

解决提出问题的人，good job

正常流程一般是挖到了不披露,联系产品,然后产品方修复 bug 之后再披露
如果联系不到产品方或者产品方不 care,那么就会提交 src,让平台和产品方扯皮,
如果产品方还是不 care 那么就披露完整的 poc.

> 监管部门鼓励第三方组织和个人及时向漏洞收集平台报送获知网络产品、服务、系统存在的漏洞情况
官方是支持向平台披露的,当然这个感觉主要指 CNVD

问题感觉在 src 平台那边

---
以及楼上有些不是很懂漏洞披露流程,说的话很不负责任
---

》 给你一些参考条款 《漏洞管理规定（征求意见稿）》里的
第三方组织 : 违反《漏洞管理规定（征求意见稿）》规定向社会发布漏洞信息的

由工业和信息化部、公安部等有关部门组织对其进行约谈；

给予行政处罚，如给予警告，处以罚款，责令暂停相关业务，停业整顿，关闭网站，吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处以罚款等；

构成犯罪的，依法追究刑事责任；

给网络产品、服务提供者和网络运营者造成经济或名誉损害的，依法承担民事责任。


（处罚依据：《网络安全法》第六十二条和第六十三条等）

自从世纪佳缘的事情后，正常人都不会在发现漏洞后去告诉厂家的。

@polaa #31 我也去读了这个征求意见稿, 很明显, "披露"特指的漏洞细节和 POC 等, 而不是"这个产品有漏洞" 这个事实.

你以为只有公布的那个人发现了漏洞吗？
他不告诉别人，就是没人知道？
一般来说，在安全领域，如果有白帽发现了漏洞，基本可以认为已经有黑帽在此之前已经发现并有可能利用这个漏洞。因为黑帽有真金白银的利益诱惑。

麻烦公司名字发一下，今后我们发现有什么漏洞保证不告诉任何人

@chinvo 本条明确了第三方组织或个人发布网络安全漏洞信息的原则和要求。



网络漏洞信息发布不当，可能会危害国家安全、社会安全、企业安全和用户安全。本条的直接上位法条文依据为《网络安全法》第二十六条，“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”具体规制内容沿用了《漏洞管理规范（征求意见稿）》第 5.5 条的思路，包括网络安全漏洞发布对象、发布方式、发布的原则要求和发布的具体要求四点。



第一点，发布对象，第三方组织或个人，即开展漏洞检测、评估、收集、发布及相关竞赛等活动的组织和个人。



第二点，发布方式，通过网站、媒体、会议等方式向社会发布，主要指向公开发布的形式。



第三点，发布的原则要求，遵循必要、真实、客观、有利于防范和应对网络安全风险的原则。漏洞信息涉及的目标对象、风险情况描述等应真实客观，不得发布虚假、容易引起误解和恐慌和用于打击竞争对手等不正当竞争目的等的网络安全漏洞信息。



第四点，发布的具体要求，包括“三不得”和“一同步”。



“三不得”规范了发布时间、发布的真实客观性和发布内容，具体包括：



第一，发布时间要求，不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息。该项要求与本规定第三条第二项相关联，参照了《中国互联网协会漏洞信息披露和处置自律公约》（以下简称“《漏洞披露和处置自律公约》”）第十一条适时披露原则的精神，但对具体时间节点进行了明确规定。需要探讨的点在于，该项似乎隐含如果该等漏洞信息无需用户或相关技术方采取漏洞修补或防范措施，网络产品、服务提供者和网络运营者可以不向社会或用户发布，由此也能限制第三方组织或个人向社会发布网络安全漏洞信息；



第二，发布的真实客观性要求，沿用了《漏洞管理规范（征求意见稿）》 5.5.1b)条和《漏洞披露和处置自律公约》第十一条客观原则要求的思路，漏洞信息涉及的目标对象、风险情况描述等应真实客观，不得将漏洞潜在风险作为网络攻击事件进行发布和诱导，不得刻意夸大漏洞的危害和风险，避免引起媒体舆论和社会公众的误读和恐慌；



第三，发布内容要求，沿用了《漏洞管理规范（征求意见稿）》 5.5.1c)条的思路，旨在防止为相关漏洞被违法违规利用提供帮助的行为。需要进一步探讨的是，这里的“专门”的限定是否有必要？实践中有多大概率会专门发布从事危害网络安全活动的方法、程序和工具？。



“一同步”，即同步发布漏洞修补或防范措施，意味着在网络产品、服务提供者和网络运营者发布漏洞修补或防范措施之外，漏洞发布者也需要发布漏洞修补或防范措施。未决问题在于，漏洞发布者发布的漏洞修补或防范措施是否可以与网络产品、服务提供者和网络运营者发布漏洞修补或防范措施保持一致？还是需要提出同等保护效果或者更有效的修补或防范措施？

@tocherrygo 或许这个白帽子或者相关漏洞平台存在一定问题，但是你的说辞真的恶心。这个人既然提交了漏洞说明他并没有太多获利的想法。你可以联系相关平台问一下为什么没通知情况下直接公布 POC，而不是试图解决这个找到问题的人。

@zgzhang 对 明明其实是平台的问题