安全漏洞的开源

　　说完开源软件的安全，我们再看一看安全漏洞的开源。尽管由于这几年宣传力度的不断提高，大多数用户们除了微软公司每个月升级的补丁，也通过360或者腾讯这些管家们了解到自己的机器上有这么多的漏洞。但对于威胁更严重的服务器端的软件漏洞们，用户们依然几乎一无所知，而随着私人信息云端化的发展，服务端的漏洞可能为用户带来的损失更大，即使用户个人遭受了损失，可能也不知道是怎么回事，企业可能还一脸官腔地说不关我们的事。所以在安全漏洞上同样存在开源的开拓者们，比如国内著名的乌云网站, 希望能建成一个自由平等开放的漏洞报告平台。通过公开漏洞，不仅让用户知道数据可能或已经发生了什么事情，同时也给企业以更大的压力来迅速修补漏洞。但是对乌云这样的平台，却同样也存在压力，很多企业依然认为，如果公布了漏洞，大家都来攻击，那岂不是更加不安全，而且被人发现有漏洞也是一件很没有面子的事情，所以会试图采用公关手段来避免漏洞的公布。

SEBUG : Apache 漏洞数量趋势图

　　开源的安全漏洞市场并非一个孤立的市场，事实上安全漏洞的市场环境要比开源软件更为复杂，在漏洞这个名词出现以后，面向企业的漏洞市场、灰色漏洞市场和黑色漏洞市场就已然依次诞生。这些市场通过封闭的地下交易让漏洞交到企业或者牟利者手中，但是由于企业所能付出的代价和攻击牟利方获得的代价相差甚远，尽管很多有道德的漏洞挖掘者会把漏洞交给企业，更多的漏洞会流向攻击者。另一方面，企业由于封闭的漏洞生态系统而不用面临公众压力，对漏洞的修补也未必及时，可能一个漏洞买回来很久，也没有真的把补丁打上。而漏洞挖掘者由于企业的态度问题，也往往未必愿意把漏洞交给企业。开源的安全漏洞给这种封闭体系之外带来一种开放的生态体系，但这个体系和开源软件的市场一样，同样需要企业、漏洞挖掘者和用户共同培养一个有益的市场生态环境。

　　所以寻求和构建一个更有利于自己的安全漏洞开源市场是有利于互联网企业的，那些依然停留在传统企业阶段试图通过公关和其他非公开手段来解决自己面临的漏洞或攻击的企业将面临更大的风险。企业要明白的是，在互联网时代，你想瞒住所有人一件事情是几乎不可能的，而欺瞒的代价会是企业信誉甚至企业本身的崩溃。比如2011 年发生的DigiNotar 事件，荷兰的证书颁发公司DigiNotar 在发现自己面临的攻击后，并没有如实公布遭受攻击的情况，并一再宣称攻击的后果在控制之内，可是经过名为“Black Tulip”的第三方机构调查后，发现攻击后果已远超DigiNotar 公布的情况，DigiNotar 公司也因为这次攻击彻底失去了信任并宣告破产。（作者单位为东南大学计算机系）