我应该等待多长时间才能公开免费/开源项目中的漏洞？ [关闭]

Posted 2023-03-21

【中文标题】我应该等待多长时间才能公开免费/开源项目中的漏洞？ [关闭]

【英文标题】：How long should I wait to publicize a vulnerability in a free/open source project? [closed]

【发布时间】：2010-01-12 01:28:29

【问题描述】：

在查看根据 Apache 许可分发的免费软件包时，我发现了许多错误，从晦涩的代码问题到安全漏洞。

我已采取以下步骤：

我在两周前通过私人电子邮件通知了项目负责人，除了对上述电子邮件的确认外，我没有看到任何与我提出的问题有关的内部或外部活动。 我已遵守 SANS 和 Wiretrip 制定的政策。

问题

我应该用另一封电子邮件跟进吗？ 如果没有回应，我是否应该继续公开发布这些问题？ 有没有人经历过这个（从任何一方）对如何处理这个有什么好的建议？

【问题讨论】：

查看 ZDI；也许你可以卖掉它们；）披露政策是个人的事情，做你认为在道德上正确的事情，你不会出错。

@George 只是想知道您为什么删除了安全标签：是什么使它与安全无关？

@George Stocker：明白。它不再描述我的情况，尽管它很接近。由于这个问题不再像我写的那样，我已将其设为社区问题。

【参考方案1】：

说实话，如果：

您在合法安装软件时发现了问题（遵循所有 ToS/Fair 使用指南等） 您没有通过故意将系统设置为不安全的方式（即故意卸载其具有的安全措施）以任何已知方式修改或损害系统的安全性 在相同的市场空间中，您不可能被视为经济利益的竞争对手。

如果这个产品是纯粹的开源并且在免费许可下，最后一个显然是正确的，只考虑前两个（如果它有商业许可，这可能是另一回事）。

您可以公开记录您在软件方面遇到的任何问题，只要您提供这些问题是您的意见，并且您以某种形式（博客、邮件列表）提供证据（最好由第三方验证）支持所说的问题， ETC）。

如果您是专门负责研究产品的安全研究人员，或者打算将您的发现作为公司报告的一部分发布，您的法律部门将有额外的规则需要您遵守（咨询他们）。

我认为这种困境纯粹是道德的，我想引用你帖子的一部分：

我确实有一些自私的理由 说“看我多聪明！我发现 代码中的这些问题！”但他们 想要给予 开发人员有时间修复代码，我 深知自我和骄傲可以 参与这些事务。

如果您认为您的道德推理是公平的，那么您应该遵循您认为最合理的任何常识（我认为 SANS 在这种情况下非常公平）。

【讨论】：

感谢您深思熟虑的回复。此后我跟进了供应商，他们回答说他们一直很忙，我应该将其发布到总列表中。我也这样做了。

【参考方案2】：

也许没有活跃的社区。也许他们只是不在乎。也许，哦，天哪，他们故意将安全漏洞放在那里。如果你的问题是，要等多久才能上市，那么，你似乎已经给了他们一切合理的机会来回应你。因此，如果您认为上市为公众服务，那就上市吧。

【讨论】：

我喜欢认为我可以邪恶地思考，但我什至不认为它们可能是故意的后门缺陷。代码库的其余部分中没有那么多邪恶的天才，所以我认为情况并非如此。它是一个测试工具，大多数用户群（每天大约 5 个帖子）不是开发人员。无论如何，由于这些答案，我已经跟进并且该公告现已公开。感谢您的反馈！

【参考方案3】：

尽管开发人员规模庞大，但无法反驳 SANS 的建议。无论团队规模大小，30 天的时间足以解决大多数问题。由于他们保持沉默，因此您可能不是第一个发现问题的人。

【讨论】：

我同意。如果没有任何活动的迹象，给它最后一次刺激，然后开始让人们知道。就目前而言，每个人都通过默默无闻来依赖安全性，这根本不是什么。如您所知，人们可能已经在利用此漏洞。

另一个产品起作用了。第三次是魅力？谢谢！