|
作者:TK 限制漏洞披露,結(jié)果必然會影響漏洞研究本身�。 漏洞研究和其它科技研究工作一樣,都是特別苦的事情�。人為什么愿意干特別苦的事情?那些博士們?yōu)槭裁丛敢庠趯?shí)驗(yàn)室長年累月熬著�?當(dāng)然是為了發(fā)布研究成果,獲得由此帶來的收益(名�����、利����、自我實(shí)現(xiàn)感,等等)����。限制漏洞披露�����,就是削減漏洞研究的收益�����。 如果這種限制是全世界統(tǒng)一行動,那么大家刀槍入庫����,馬放南山,卸甲歸田�����,也挺好的����。而如果只是一個(gè)國家這么干,那就相當(dāng)于自己單方面主動裁軍�����。 對安全問題的一個(gè)常見誤解是認(rèn)為漏洞是某種像導(dǎo)彈一樣的東西,可以用油紙包起來放到山洞里�。但導(dǎo)彈不會消失,而漏洞轉(zhuǎn)瞬即逝����。漏洞是動態(tài)的,不斷產(chǎn)生�,不斷消失,所以其實(shí)更像電����。電一旦發(fā)出來,難以長期保存�����。所以搞電力建設(shè)����,核心不是囤積多少電池,而是建多少電站�����。對于漏洞來說,“電站”就是安全研究者����。 在漏洞研究領(lǐng)域,人和人的差別有多大呢����?大到一萬個(gè)臭皮匠也頂不了一個(gè)諸葛亮。在任何行業(yè)�����,這種情況都是管理者最不喜歡的����,但又是一個(gè)客觀事實(shí)�����。在目前以及可預(yù)見的未來�,沒有什么軟件或硬件能代替優(yōu)秀的漏洞研究者。 目前業(yè)界公認(rèn)水平最高的漏洞研究團(tuán)隊(duì)是 Google 的 Project Zero����。Project Zero 匯聚了全世界各類漏洞研究方向上最好的一些人,每年都能產(chǎn)出數(shù)量和質(zhì)量驚人的成果。那為什么這些人都愿意去 Project Zero����? Project Zero 的待遇當(dāng)然是很好的。但同樣的待遇����,很多公司都能給得出。最主要的原因是 Google 給了 Project Zero 最寬松的氛圍�,特別是制度性地允許和鼓勵對研究結(jié)果進(jìn)行完全披露。 對研究者來說����,除了薪酬待遇,最重要的是自己的成果能為業(yè)界所知�����,能自由地進(jìn)行交流�����。這一點(diǎn)�����,決定了他們能夠從內(nèi)心中產(chǎn)生強(qiáng)大的自我驅(qū)動力,能對研究的問題晝思夜想����,全身心投入。而不會像大多數(shù)人那樣抱著拿一份錢打一份工的想法�����。不會多工作幾分鐘就認(rèn)為公司占便宜了�����,自己吃虧了�����。 2006 年前后�,國內(nèi)網(wǎng)絡(luò)安全研究人員的薪酬水平比較低。那幾年 McAfee�����、Fortinet 等外企從中國挖走了大批優(yōu)秀人才�����。以至于硅谷有些安全公司研究團(tuán)隊(duì)里一半以上都是華人�����。2012 年之后�����,國內(nèi)這個(gè)行業(yè)的薪酬情況逐漸好起來�����,去國外的人就少了�,一些已經(jīng)去了國外的人也回來了。 目前國內(nèi)安全研究實(shí)力和美國相比尚有差距�,但處于蓬勃發(fā)展的狀態(tài)。相對自由的環(huán)境�����,讓大批優(yōu)秀的年輕人愿意加入這個(gè)行業(yè)�,展現(xiàn)才華,獲得屬于自己的成就�。如果現(xiàn)在改變這種環(huán)境,讓每個(gè)人在發(fā)布研究成果時(shí)都思前想后戰(zhàn)戰(zhàn)兢兢�����,短期內(nèi)也許能獲得些許表面上的平安和穩(wěn)定。但長期來看�����,一定會對安全人才培養(yǎng)造成非常負(fù)面的影響����。 說漏洞像電,漏洞其實(shí)又不像電�����。三峽的電,如果中國人不發(fā),別的國家也發(fā)不了�。但任何漏洞�����,如果你沒有足夠的人才來研究����,是攔不住別人去研究的�。
|
