现在国内做安全的都这么肆无忌惮吗？发现有漏洞就直接提交公布？

@ajaxfunction 当对方的言行愚蠢的恰到好处，我甚至不确定他是认真还是在反串


@ioioioioioioi 你说的对，白帽发现你家墙破了个洞不应该告诉你，应该等其他人进去把值钱的东西搬空

@ioioioioioioi 开源软件本来就是公开的好吧，白帽子提交漏洞就是为了让这个软件更加安全

先通知你？万一你报案说被敲诈勒索怎么办

楼主真的恶心

等出了大问题，看你还能不能承担的起

@newmlp 先通知 = 勒索 ??有因果关系??懂点法律

@tocherrygo
“讲道理，不应该是厂家修复后再公布吗？他通知厂家，修复完，他公布，这个其实没啥矛盾，而且更安全，为啥就直接公布呢？实在搞不懂。”

大明湖畔的乌云网，本来有着严格的流程（至少纸面上有）：作者发现漏洞——作者提交到乌云网——乌云网通知厂商，细节向厂商公开——厂商修复，或者厂商回复无所谓，或者厂商沉默不回复——到达一定的时间，乌云网把细节面向核心白帽子以及相关领域转接公开——细节向普通白帽子公开——细节向实习白帽子公开——乌云网把细节面向公众公开（在网页上可以看），或者厂商在最后一步之前主动公开。

有着这么严谨科学的流程，公司高层仍然被抓了，网站至今还在“升级中”。
既然有着严谨科学流程的网站都被打击了，很自然就是告诉大家伙，不需要什么流程了，反正都一样进去，那就来自己随便搞呗。


@polaa
“> 监管部门鼓励第三方组织和个人及时向漏洞收集平台报送获知网络产品、服务、系统存在的漏洞情况”
这个是哪里写的？规定（条例？红头文件？）有名字没？

@ioioioioioioi
敌人（政治上的或者商业上的）会不会先征求同意？

唉，乌云就是这么倒闭的。

其实，这事本质上是公司和程序员都对安全问题漠视的态度造成的。如果一开始，开发人员和公司都对安全问题很重视，那这一切都不存在。

出事了，不是想解决事情，而是解决发现事情的人，让我想起了吹哨的那位。此情此景现在实在太多了。当整个社会如此，也确实无法苛责个人。

反过来思考，如果当事人没提交漏洞，而是直接把这个贴在暗网中，又会如何？

发现问题，正视问题，解决问题才正道吧。虽然，这很难。

@lucio6 不是我不懂法律，是你不懂天朝

xswl 看这样子的亏是提交到平台了。万一直接联系你们怕不是直接上法院而不是来 v2 发帖了

@ioioioioioioi 先要钱再给漏洞细节的那叫敲诈勒索，不叫白帽子

你是哪家公司？别你一个人在这说啊，你发一下地址，我们给你评理。

你为啥要提一嘴开源呢？是你把给客户做的项目开源了还是怎么的？

若是，恕我直言，肆无忌惮的是你。这边建议贵公司客户民事起诉以及刑事举报你或者贵公司擅自开源客户代码。

若不是，请参考楼上各位的意见。

我只能说，你这棵树就算是要结果实，也是有毒的果实。

题主还没确认是公布存在漏洞这一事实，还是公布了漏洞细节？

建议起诉 CNVD，不仅要公布 xx 系统存在某漏洞，还有可能把你们的系统或客户单位挂到绵羊墙上，太影响名誉了。另外也喷喷网络安全法，毕竟公司被黑客攻击了还有可能被罚款，太没天理啦

1

公布漏洞还是公布漏洞细节。

一句话：吃的咸鱼抵得渴
人家公布给你，至少你知道有这么一回事。不公布出来，这些漏洞藏着，被人黑产利用，更加可怕呢。

平台的问题怪提出问题的人？你这果实本身就是有毒的，到时候给客户造成了损失是不是还要怪黑帽恶意使用？

乌云当年正规的很，流程也没问题，还不是被搞死了？如果没死的话，好在有个平台缓冲期。

所以国内还是傻 X 多，不想着解决问题，就想着掩饰问题。

看大家说这么凶。。就问一句。。你开源软件 就审你代码 提你漏洞 让你被通报 有屁放嘛 不服转行

就是你这种煞笔多了 ，乌云才被干没了，自己东西做的烂不完善还有脸在这逼逼？

国内在做的漏洞平台，据我所知现在没有任何一家公开漏洞详情的。顶多撑死了就是几句模糊的描述。不存在楼主说的直接公开的情况，再者说我看了楼主的说法还有态度之后。我很明确的说你就是想骗大家，就硬钓，推卸责任就想搞漏洞提交者。

在平台公布，平台肯定有责任通知，给时间修复啊，直接公开？有链接吗

（：“安全人员通知厂家并修复漏洞，再提交平台公开漏洞。”说白了就是想白嫖呗。你给我产品挖漏洞，是你一厢情愿，我可没有要求你挖，但是你挖到了必须提交给我，不能提交给任何地方，不得拿去获利，不允许要求任何回报。你们产品是你们的价值，那我们挖洞时间和精力难道就不值钱吗？ are you on9 ？

这多少沾点

如果你是树，快结果实了，树被啄木鸟啄了个洞，导致果没了。


不被公开，你的漏洞就没有了吗？ 是啄木鸟挖的洞还是你本来就有虫的？

> 有经验的朋友说一下，能否用法律途径获得赔偿。真被他们搞蒙了，不防黑客防这些人，太恶心了。(:з」∠)

@tocherrygo 建议去脑科看一看

麻烦把你们公司的产品名称说一下，我帮你们劝一劝用户。让他们理性思考

心态有问题，自己的产品有漏洞赶紧改，有时间在这里磨嘴皮子还不如把修复后的报告呈给用户，说产品经过专业漏洞检验现在安全无虞。这不是反向给客户送安全感的一波机会吗？小人心态是做不了大公司的。

谢谢你，让我不用国产产品的理由 +1

说实在话，现在开发者太不重视自己产品的安全了，安全应该贯穿整个生命周期，而现在大部分人只想解决找出问题的人而不是去解决问题

求求你把你产品名发出来吧 ：）

不知人心险恶？？？肯定有因果关系。
漏洞提交人没有法律保护，直接通知厂商，厂商修复漏洞后给提交人一些奖励；
结果厂商倒打一耙直接说你是勒索，就报警告你，用法律来解决发现问题的人。这有没有因果关系？？？
这跟懂不懂法律有鸡毛关系？？？？

不懂就多看看评论，人心险恶....

开源有漏洞，不跟有 bug 一样，我给你提 issue 一样不一样？？？？

世纪佳缘的事情忘记了？
歪脖子树上还挂着乌云的尸体呢。。。。。。

有问题？解决问题？不，解决提出问题的人。

没有系统是真正安全的，IOS 、Android 、Windows 这些流弊的系统每年被爆的漏洞比你多得多，不想着怎么解决漏洞，而是解决提出漏洞的人，国内的安全环境已经恶劣如斯。从我的经验来看，顶多是平台公布的一个漏洞标题《 xxcms 存在 xx 漏洞》，绝对不会公布详情的，而且在漏洞被白帽子发现之前，可能有无数个黑帽子已经开始批量拿站了，你确定真的有为你的客户考虑过吗？

@ajaxfunction 你这种 zf 网站都能被篡改文章非常严重了, 随便发布点 fd 信息, 够领导喝几壶的, 某个省的大运营商就是因为这么点漏洞几个大的领导都被弄了.

楼主说到现在都没说清楚问题。
1，他在哪个平台公布的？
2，公布的内容是什么？ 是说"A 网站存在漏洞，可导致任意用户密码重置，任意用户个人数据泄露"，还是直接公开 POC ？这两个可是不一样的。
3，这个平台，哪些人可以看到你说为的“公布的漏洞”？游客?注册用户？还是只有平台管理员和相关产品厂商？

请你把这几个问题都说清楚。

漏洞为什么不能直接公布, 还要等厂家修复? 如果厂家不愿意修复呢, 这样的厂家还真不少
漏洞提交只要不公布详细攻击步骤和利用工具就很合理.

你的最后一句话是真的恶心到我了。。。。

楼主先说说是什么平台啊，发出平台地址来看看啊。

一个帖子发现了各种事情都想不清楚的人，还什么解决提出问题的人，真的好笑。。。

@fate 语死早吗？还是强行杠？看不懂楼主说的啥意思吗
漏洞还没修复，就被公开！
漏洞还没修复，就被公开！
漏洞还没修复，就被公开！

想不明白？

@karnaugh 公开漏洞不等于公开漏洞详情，主要讨论的是楼主对安全的态度，你杠你🐎呢？ 5YK76YC85pON5L2g5aaI

通知厂商被反手举报咋办。


楼主被喷惨了

想起乌云了...乌云都凉了...
为什么不直接先报厂商，就是有前车之鉴...直接交到平台 你好我好大家好。至于因为有漏洞丢失客户，这就没办法了。

@tocherrygo 为何你们的开源是加密的？

应该先通知厂商吧，直接公开还有这么多人支持的？

建議全體白帽轉黑帽，整點大💰，弄死樓主這樣的傻逼

@pmispig ,通知厂商就像是在路上扶跌倒的老人，运气好啥事没有，但顶多落下一声谢谢。运气不好不仅被抓进去还得赔钱。
然后就是楼主的描述，并没有说清楚，是平台公布了漏洞还是漏洞的细节，如果是漏洞细节那确实是平台的问题，这无可厚非。但是如果只是公布存在漏洞的话，尼玛自己的产品有问题，还怪平台发现了问题，都是什么傻狗，也配发布产品？
其次就是楼主对发现问题的态度，因为投入了精力所以不容许别人公开错误，因为出了错误就必须通过楼主的方式进行汇报，当用你系统的人是你的御用测试呢？
最后，也没说是什么产品，哪家公司。难道也知道自己开发的东西就是个垃圾，经不起推敲？

同样是做漏洞挖掘的。其实站在安全研究者角度。还是更信赖平台一些。主要原因还是对于厂商的态度不明白。万一发生类似世纪佳缘的事情，对于白帽子来说几乎是没有什么能力去做到自保的。之所以提交到平台，从某种程度上来说也是寻求自我保护的一种方式。

@pmispig 国内的漏洞平台应该都是发出漏洞标题，然后联系厂商。具体漏洞细节只有白帽、平台审核人员、厂商才能看到。

哪个平台，既然公开了，有链接？整一个看看，口说无凭，拿出证据，在看喷谁

哪个平台，既然公开了，有链接？整一个看看，口说无凭，拿出证据。

然后再站到厂商角度，厂商不希望自己的产品的缺陷被公布其实也能够理解，谁也不想有人说自己的孩子这不好那不对。但是有安全缺陷却是不争的事实。所以关于这点上，作为白帽子，主动耗费精力寻找漏洞，其实并不是为了所谓的炫技也罢，利益也罢。更多的也是在寻求自我技术的认可和突破。老实说很多漏洞，就平台的那点奖励，可能还不如黑市的一个零头。但是很多白帽子依然选择提交到平台，让漏洞走正规的处理流程。大家的诉求是一致的。都是希望整个大环境能够越来越安全，关于这点希望楼主也能理解
楼主其实只是站在自己的角度去考虑，但是既然自己开发了产品。并公布出来让大家使用。就有义务保证自己产品的安全性。这在任何市场上都是这样的，你不能说我买了个手机结果手机炸了。怪用户要买这种事情，道理法律上都讲不通。所以在这个层面上，白帽子去挖掘一个产品的漏洞无可厚非，这个行为也没有什么可争议的。很多产品其实就是靠着这众多白帽子闲的蛋疼最终从一个有缺陷不完善的产品逐渐迭代到完善的。
在这件事情上我个人的看法也是这样。厂商只站在自己的角度去考虑，而白帽子也只是站在自己的立场上做事情，其实很多时候换位思考一下，可能问题矛盾也就没有那么突出了。相互理解一下。
最后。现在漏洞披露都是有正规途径和流程的。不管是交到平台，或者是 CVE/CNVD 之类的。都是只公布漏洞的标题。细节。POC，EXP 概不公布，但是也并不妨碍白帽子根据标题进行漏洞的复现，作为开发者我觉得还是有义务在遇到问题的时候尽快处理问题，一个产品有缺陷很正常，及时的处理让人放心比假装看不见要好得多。
楼主其实也没必要对白帽子充满愤慨。无论对方出于什么动机，至少他没有吧这个漏洞危害扩大，没有去黑市上兜售。没有利用漏洞做黑色收入，仅仅是提交到平台，之后按照平台规定正规处理，我觉得就没什么问题。
白帽子和厂商之间的关系本身就很微妙。很多时候白帽子也是很被动的，并不是不想找厂商，真的是很怕。反手一个举报就进去待几年。
做安全本就是戴着脚镣跳舞。而安全从业者又得不断学习不断去让自己能力跟上时代。个中滋味真的只有做安全的人才能体会。人生苦短，何苦互相伤害呢。

因为安全问题而丢失了客户，这个本就是自己的问题。举个例子，之前的三星手机因为爆炸问题不得上飞机，而且也会危及人身安全，那么在选购手机的时候，用户是不是会去考虑手机的安全性，在某种程度上就会否决掉三星的整个产品线。这个问题也不能说是怪那个买了三星手机结果手机炸了的那个人，这一点上，我站挨打要立正的态度。自己的安全开发意识不到位，多去学习学习如何开发更加安全的功能，无论对于当下这个产品，还是以后要做的产品。对自己，对客户，都是一个负责任的交代。还是那个意思，错并不可怕。怕的是知错不改错。甚至要掩盖错误。
其实这件事情也是给自己敲响一个警钟。做产品不仅仅是吧功能完成就 OK，还要考虑到方方面面。对于客户来说他们也不想我花钱买的东西结果突然有一天出事了还得自己背锅。所以还是建议楼主在这个事情上跟客户进行协商，有些时候客户并不 care 你到底有没有问题，只仅仅是不想担责。既然吧产品卖给客户了，那么也就有义务打消客户的这些顾虑。让客户用的放心。出现安全问题第一时间通知客户，做好应急预案。紧急修补 /封禁方案，然后修复之后提供补丁包，以及相关的技术支持，我觉得这才是一个正常的处理过程
对于客户那边，可能客户对于安全的这些事情了解的没那么多，所以一听有漏洞卧槽那还得了。不行不行。类似这样的想法，其实无论是厂商，开发者，或是白帽子来说，都是挺蛋疼的一件事情。所以这更多的也是白帽子和厂商之间共同的诉求。不要把漏洞视作妖魔鬼怪，正视漏洞，正视自己的缺陷，有问题，解决问题就好了。客户那做好思想工作。认认真真的去对待问题。我相信问题还是能够圆满解决的
最后。如果楼主愿意，我倒是蛮想替楼主的产品做一个完整的安全检查。给不给钱都行，主要目的也是希望通过我的行动能够让楼主明白漏洞不是妖魔鬼怪，白帽子也不是十恶不赦。另一个角度也是为了充实自己。同时也想把我的一些安全经验带给楼主，在楼主以后的开发过程当中如果能够因为我二开发出更好的产品，那么我也是会很欢喜的
大家都只是希望这个世界变得更好而已。共勉

依照楼主之后又说的，希望白帽子们能先通知厂商再提交平台，站在你的角度来讲，这样是没有利益损失的，但是对于白帽子来说，白帽子并不认识你。那么希望你能拿出像提交平台一样的态度，在产品后面写明自家开放的漏洞提交平台。比如小米有小米 SRC，oppo 有 opposrc 。毕竟不是所有人拿到漏洞都会去直接提交给厂家，而有可能是放在自己手里等着有利用价值的那一天。希望你能反思。

太棒了！你的收益被损害了，顾客呢？

看大家说的了解了一下乌云的始末，挺唏嘘的

@est 真有效吗？真能告？请问有依据出处吗？谢谢

@sonxzjw 我说的是不联系厂家、漏洞平台直接公布的这种行为。但是看大家的评论，觉得情况更加复杂

花帽子找到漏洞 -> 提交给平台 -> 平台找到 LZ 的客户，也就是商城之类的 CMS 的业主 -> 商城的商家没有漏洞处理经验，无视 -> 漏洞被公开 -> 慌了，开始一层一层找系统供应商 -> 一级一级的供应商找到 LZ 这个苦主


这种时间链条，很难说哪一方具体有过错。

到现在不回复，大概率平台只是公布漏洞，不然平台早就吃传票了

@lucio6 别问，问就是有先例

如果能满足：
“产品漏洞被直接公布后会给厂方造成的损失 > 漏洞发现者直接提交给厂方能获得的奖励 > 发现者直接公开漏洞能获得的收益”
这一条件，一般不太会发生这种情况？
莫要劝人大度，也许……也可以用在厂方身上

亮出我的观点：很难讲那一方对错。
写代码的兄弟也很不容易，也是打工仔，然后被通报下来，甚至像楼主讲的，我才开发，才卖出去，辛辛苦苦吃了几个月的泡面，终于卖出去了，然后被通报了，刚觉得可以开始吃点饭或者肉了，又给抢回去，这样是不是对小微企业是不是真的很不友好呢，毕竟我才搞了个系统，一下国家层面的来通报我。客户本身就是一个没多少钱的，然后那么一通报，哦吼，客户受罪，开发公司自然也受罪。（真实的接触过一个项目，一个开发三两个销售组一家公司，开发了一个校园网站，没多久就被通报了，项目一年才 2w，即使是去除了各种公关商务费，交通费也是要钱的啊，兄弟们吃饭也是要钱的啊，帮你买域名，买服务器，写网站，管运维，才两万啊，三四个人分，真赚不到什么💰啊）

反过来搞安全的兄弟也无奈
我特么免费好心帮你，你反倒过来骂我，骂我就算了，还打算告我。

那么问题出在哪儿？
首先我觉得开发的兄弟应该积极面对，漏洞嘛，来噻，来了修补嘛，有些时候客户其实要得也是你们能够合理并且认真的处理好这件事情的一个态度；

然后就是对于搞安全的兄弟，圈子里，可控范围里搞噻～

最后反倒是有很多的安全厂家拿着鸡*当令箭，卖一堆 L*设备，卖完了，拍屁股走人，不负责然后没拦住然后又讲攻防无绝对。

是，不公布出来，自己悄悄藏着。然后把你公司产品全线爆破，到时候你就爽了？白嫖别人的东西还骂贡献者，可真是有够好笑的呢

如果没有公布详情, 应该感谢有人话时间花精力替你们测试, 应该庆幸还没给客户造成损失, 赶紧修复
真心觉得当年乌云的流程挺好的, 至少有个可以沟通的地方, 现在都要求实名制, 一旦发生大规模信息泄露, 后果不堪设想

“难道开源真的没法搞了吗”
你都开源了你还骂人家公开漏洞的？脑子瓦特了？
还是说你用人家开源协议的东西当成产品卖给客户空手套白狼？

其实这事逻辑很简单：帽子找到了漏洞，发布到了平台上，客户看到了或被通知了于是很生气，找到楼主说产品有漏洞，甚至可能合作都崩了，楼主很生气，不敢对着平台和客户撒，就撒到了帽子身上，责怪为啥帽子不偷偷通知他，自己悄悄的改了漏洞，好瞒着客户。。。
大家不觉得这首先是个道德问题，然后才是个技术问题吗？

吃惊 原来真的有你这样的人，而且你也真敢说

再看一次你这个帖子 作为一个渗透工程师我真的是恶心到了

不怪平台 怪白帽子？ 免费帮你测产品 有问题呗 真的客户被脱裤了你才开心啊？

第二 国内没有任何一家平台敢直接披露漏洞细节吧 顶多标题写明白是什么类型漏洞

再者 你一个开源项目 还不给人家测了呗， 你都开源了 人白帽子 下载下来自己的搭环境 审一波代码 连入侵别人计算机都没有。。。。

我看你不就是 漏洞被客户知道了 很生气 不是第一时间告诉客户马上修复 而是 责怪帮你及时发现问题的人呗

你辛亏是遇到一个白帽子 要是 hacker 岂不是拿着洞为所欲为 看你这个生气的态度得是高危洞吧

现在还有敢公开漏洞的平台？ 哪个平台楼主说下啊~想去看看

让安全员私下联系你？那这安全员也太不把自己的人生安全当回事了

通知你，然后你修复了，反手报警，把白帽子逮进去，所以平台是最安全的选择，现在平台都不公布漏洞细节，你有什么不爽的，你要是觉得白帽子做的不对，你就好好写代码，看你这么气愤，应该是一个又低级又高危的漏洞，还是反思一下自己吧，白帽子的做法是行业做法。

┑(￣Д ￣)┍

请告诉我是哪款产品，我杜绝使用

请明确提供贵司产品和阁下您的姓名，以便我们进行相关拉黑处理，谢谢。

有些人关注点好像有点跑偏 不应该在开源二字上吗 github 提 issue 不是提吗 他这个逻辑就好像是 瑞幸咖啡财务造假 然后高管跳出来说 现在搞金融的都这么肆无忌惮吗 发现财务造假就直接公布出来？不能悄悄跟我们说财务造假吗？ 纯属无能狂怒 胡乱撒泼

一用户爆料：三星电池会爆炸。三星手机销量大跌。三星员工表示：mlgb 这用户不等我们推出下一代产品修复这个问题就把问题爆出来。

@avrillavigne #43 你是从你哪里看到对方把漏洞详情公布了？？？？还是你上来就这么理解。
一般 src 平台只会公布一个漏洞大概类型，只有厂商修复确认后，才会公布详情。

@ioioioioioioi #92 去你内网渗透了，确实可以这么说，未经允许。
但是楼主这个是开源项目，别人还不能测试漏洞了？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？

我的观点还是这样：安全人员通知厂家并修复漏洞，再提交平台公开漏洞。

漏洞都修复了，再提交？？？？

SRC 平台审核人员直接回复：未复现漏洞，审核不通过

我理解的一般流程：
第一种：安全人员发现漏洞 - 提交给厂商 - 等待修复（和奖励）
第二种：（因为第一种可能擦边勒索之类的）安全人员发现漏洞 - 提交给专门的漏洞平台 - 由平台与厂商沟通 - 平台将奖励给予提交人员

至于这个漏洞什么时候公布，理论上是由厂商在修复的时候说明大致情况之后吧。当然提交后长期不修复的这种，不好界定……

哎，一行人吵吵吵的，我怀疑是这样：楼主有个开源项目，提供付费版本，然后开源平台上有人公布了漏洞，被付费客户看到了认为产品不安全，楼主就觉得不爽，认为开源没法搞了。

国内的还算保守了，你是没见过境外势力。

等了一天了，楼主也不说产品叫什么。

楼主到现在也没之回答一下大家都关心的问题，那家公司的哪个产品🤔说出来大家给你评理啊，有问题解决问题，为何要引战呢？

楼主也不说产品叫什么。

@tocherrygo 都有时限的，通知完 你一直修不了 这个风险一直存在 不代表 别人挖不到，甚至有黑产可能已经在利用

乌云为啥会凉，看这个贴子就知道了

产品名公布一下，看看是啥样的。

没听说过哪个平台不联系厂商直接公开漏洞的，还是问问你家行政岗或者商务岗最近有没有收到电话或者邮件吧
联系不上，时间到了肯定是要公开的，按照你的描述，估计用户都看到了你还没看到。
另外不接受的话麻烦发一下公司和产品名，大伙以后看到了绕着走就行了。

至于直接联系厂商，抱歉，我怕进去

人家要是坏一点就用漏洞搞你了，你还要求这么多。

@fate 错了就要认，挨打要立正。这句话不是我香港东兴大佬的口头禅吗

安全人员通知厂家并修复漏洞？怕不是一提交给厂商，第二天就被你们报案跨省了