Идея поднять эту тему была навеяна высказываниям одного из представителей одной из известных контор-производителей программного обеспечения. Кто это — умолчим.
Суть следующая: по мнению этого представителя, публикация информация о найденных уязвимостях в популярных программных продуктах — есть зло, поскольку если уязвимость действительно критичная, то ею скорее успеют воспользоваться злоумышленники, чем исправить производитель. В таком ракурсе некий энтузиаст, найдя уязвимость, обязан уведомить об этом производителя ПО и спокойно ждать, когда эту ошибку исправят. Когда это произойдёт — никто не знает, зависит от «занятости» разработчика.
Не знаю, как думают все, но мне кажется это в корне неправильным. Солидные фирмы имеют штат высококвалифицированных программистов-разработчиков. Их можно нацелить на разработку нового интерфейса (со старым движком), на разработку цветовой гаммы строки меню или на устранение найденных ошибок. Как поступать — работать на надёжность или на липовый маркетинг — это уже политика конкретной фирмы, а публикация уязвимостей в открытых источниках позволит выявить эту политику. Если ваш продукт — розовая гламурная поделка, наполненная багами и дырками — можете выпускать новую версию каждый день, но вас всё равно съедят конкуренты.
И кажется смешным, что группа программистов не может найти в своём коде способ устранения уязвимости быстрее, чем одиночка-хакер — написать эксплоит и распространить его. Не можете быстро и качественно работать — убирайтесь с рынка.
Лично я считаю, что вполне нормально уведомить разработчика о найденном баге, после чего, в случае отсутствия вразумительного ответа или вялой отмашки «да, знаем, менять не будем, потому как неинтересно и некритично», через три рабочих дня опубликовать это для всех.
Предлагаю обсудить тему в комментариях.
