在我审查根据 Apache 许可分发的免费软件包时,我发现了许多错误,从晦涩的代码问题到安全漏洞。
我已采取以下步骤:
问题
- 我应该跟进另一封电子邮件吗?
- 如果没有回应,我应该继续公开发布这些问题吗?
- 有没有人经历过这个(从任何一方)对如何处理这个有什么好的建议?
问问题
380 次
3 回答
5
老实说,如果出现以下情况,您没有任何义务:
- 您在软件的合法安装下发现了问题(遵循所有 ToS/Fair 使用指南等)
- 您没有通过故意将系统设置为不安全的方式(即故意卸载其拥有的安全措施)以任何已知方式修改或损害系统的安全性
- 在同一市场空间中,您不可能被视为经济利益的竞争对手。
如果这个产品是纯粹的开源并且在免费许可下,最后一个显然是正确的,只考虑前两个(如果它有商业许可,这可能是另一回事)。
您可以公开记录您对软件的任何问题,只要您提供它们是您的意见,并且您以某种形式(博客、邮件列表等)用证据(最好由第三方验证)支持所说的问题.
如果您是专门负责研究产品的安全研究人员,或者打算将您的发现作为公司报告的一部分发布,您的法律部门将有额外的规则需要您遵守(咨询他们)。
我相信这种困境纯粹是道德的,我想引用你帖子的一部分:
我确实有一些自私的理由说“看我多聪明!我在代码中发现了这些问题!” 但是他们希望给开发人员时间来修复代码,我很清楚这些事情可能涉及自负和自豪感。
如果您认为您的道德推理是公平的,那么您应该遵循您认为最合理的任何常识(我相信 SANS 在这种情况下非常公平)。
于 2010-01-12T02:02:54.160 回答
3
也许没有活跃的社区。也许他们只是不在乎。也许,哦,天哪,他们故意将安全漏洞放在那里。如果你的问题是,要等多久才能上市,那么,你似乎已经给了他们一切合理的机会来回应你。所以,如果你认为上市是为公众服务的,那就上市吧。
于 2010-01-12T01:53:47.657 回答
2
尽管开发人员规模庞大,但无法与 SANS 的建议争论。无论团队规模大小,30 天的时间足以解决大多数问题。由于他们保持沉默,因此您可能不是第一个发现问题的人。
于 2010-01-12T01:50:25.730 回答