我的位置 首页  >  新闻动态  >  国内新闻

【观点】对漏洞管理生态的思考

来源:科技成果转化中心时间:2019-06-25
      

限制漏洞披露,结果必然会影响漏洞研究本身。


漏洞研究和其它科技研究工作一样,都是特别苦的事情。人为什么愿意干特别苦的事情?那些博士们为什么愿意在实验室长年累月熬着?当然是为了发布研究成果,获得由此带来的收益(名、利、自我实现感,等等)。限制漏洞披露,就是削减漏洞研究的收益。


如果这种限制是全世界统一行动,那么大家刀枪入库,马放南山,卸甲归田,也挺好的。而如果只是一个国家这么干,那就相当于自己单方面主动裁军。


对安全问题的一个常见误解是认为漏洞是某种像导弹一样的东西,可以用油纸包起来放到山洞里。但导弹不会消失,而漏洞转瞬即逝。漏洞是动态的,不断产生,不断消失,所以其实更像电。电一旦发出来,难以长期保存。所以搞电力建设,核心不是囤积多少电池,而是建多少电站。对于漏洞来说,“电站”就是安全研究者。


在漏洞研究领域,人和人的差别有多大呢?大到一万个臭皮匠也顶不了一个诸葛亮。在任何行业,这种情况都是管理者最不喜欢的,但又是一个客观事实。在目前以及可预见的未来,没有什么软件或硬件能代替优秀的漏洞研究者。


目前业界公认水平最高的漏洞研究团队是 Google 的 Project Zero。Project Zero 汇聚了全世界各类漏洞研究方向上最好的一些人,每年都能产出数量和质量惊人的成果。那为什么这些人都愿意去 Project Zero?


Project Zero 的待遇当然是很好的。但同样的待遇,很多公司都能给得出。最主要的原因是 Google 给了 Project Zero 最宽松的氛围,特别是制度性地允许和鼓励对研究结果进行完全披露。


对研究者来说,除了薪酬待遇,最重要的是自己的成果能为业界所知,能自由地进行交流。这一点,决定了他们能够从内心中产生强大的自我驱动力,能对研究的问题昼思夜想,全身心投入。而不会像大多数人那样抱着拿一份钱打一份工的想法。不会多工作几分钟就认为公司占便宜了,自己吃亏了。


2006 年前后,国内网络安全研究人员的薪酬水平比较低。那几年 McAfee、Fortinet 等外企从中国挖走了大批优秀人才。以至于硅谷有些安全公司研究团队里一半以上都是华人。2012 年之后,国内这个行业的薪酬情况逐渐好起来,去国外的人就少了,一些已经去了国外的人也回来了。


目前国内安全研究实力和美国相比尚有差距,但处于蓬勃发展的状态。相对自由的环境,让大批优秀的年轻人愿意加入这个行业,展现才华,获得属于自己的成就。如果现在改变这种环境,让每个人在发布研究成果时都思前想后战战兢兢,短期内也许能获得些许表面上的平安和稳定。但长期来看,一定会对安全人才培养造成非常负面的影响。


说漏洞像电,漏洞其实又不像电。三峡的电,如果中国人不发,别的国家也发不了。但任何漏洞,如果你没有足够的人才来研究,是拦不住别人去研究的。




文章来源:网信防务


       (科技成果转化中心供稿)