最近关于数据库安全有个有趣的问题。Oracle 公司的CSO(chief security officer)写了一篇文章,When security researchers become the problem,首先这位 Davidson 不认为安全研究人员 "push vendors to work faster" 是个好事情; 更为可笑的是 Davidson 觉得这个安全研究人员其实都是为了谋利益而来的:
Many researchers think that the more vulnerabilities they disclose publicly, the more vendors will hire them as consultants.
这多少有点小人之心度君子之腹了.这篇文章一经发出,在安全届引起了不小的讨论.
没有一个厂家会喜欢总被别人发现自己的产品有漏洞,一向肚量很小的 Oracle 公司恐怕更是如此,曾几何时,号称自己的数据库"坚不可摧",但是现在居然被揭发有的安全漏洞居然隐匿了 700 多天之久都没有解决.Oracle 数据库用户心里的五味瓶子估计都要打翻了.
数据库安全研究人员就好比花喇子模信使一样,安全漏洞的发现给Oracle产品"蒙羞",带来了坏消息的研究者肯定不为"国王"所喜.这不也有为信使喊冤的:Database Vendors Shouldn't Kill the Messenger,想到最近Lynn和Cisco之间因为安全漏洞的问题而发生的周折.看来,安全人员的确是一些大厂的花喇子模信使.王小波说过:
从某种意义上说,学者的形象和花喇子模信使有相像处,得出有关的结论,这时还不像信使;然后,把所得的结论报告给公众,包括当权者;这时他就像个信使。
套用这里的话,安全研究人员和花喇子模信使有相像处,发现有关的安全漏洞,这时还不像信使;然后,把所得的结论报告给公众,包括那些大公司;这时他就像个信使。
添加评论