Tom Ferris目前的处境十分微妙。他既可能成为微软公司的朋友也可能成为它的敌人。 

　　Ferris是加利福尼亚州Mission Viejo市的一名自由安全研究者。他在微软公司IE浏览器中发现了一个他所谓的严重漏洞。8月14日，他通过“secure@microsoft.com”电子邮件地址向微软公司报告了这一漏洞，并在此后与微软公司一位研究人员用电子邮件继续进行了数次的信息交流。 

　　在某种程度上，Ferris完全是依照微软公司的“负责任的披露漏洞”的方针来行事的。这个方针要求漏洞发现者等到微软公司提供出修补程序后再公开相关的安全漏洞。通过这种办法，可以保护那些使用有漏洞的产品的用户免受攻击。 

　　然而在上周末，Ferris违反了那些保护用户的方针，在他的安全协议网站上贴出了一张关于该漏洞的简要说明并且向媒体谈论到了这个漏洞。到目前来说，他的这一做法让微软公司十分震惊。 

　　Ferris说：“我正在打擦边球，但是我会非常小心的，因为我现在并没有公开漏洞的细节资料。”“我这么做是想提醒用户IE浏览器中仍然存在着漏洞。我不喜欢微软公司的做法，他们试图给用户营造一个歌舞升平的假象，好像他们已经把研究者报告给他们的漏洞都公布出来了。” 

　　业界许多公司，包括微软公司、甲骨文公司和思科公司等大公司都是力推“负责任的披露软件漏洞”方针的。 

　　微软公司通常都会公开严惩那些不遵守规则的安全研究人员。而且，那些研究人员也得不到微软公司对发现漏洞的人提供的嘉奖，通常微软公司都会在发布补丁程序后在微软公司的安全公告牌上公布他们的名字以示嘉奖。微软公司代表称，因为Ferris还没有披露任何实际的漏洞细节，所以他仍然站在微软公司一边。 

　　虽然许多软件生产商都在提倡负责任的披露漏洞的做法，但是这一方针并没有得到安全社区的普遍支持。许多批评家称，这会令安全公司们在开发补丁程序方面有所懈怠。他们认为还是完全披露漏洞的所有资料比较好，那样可以逼迫软件生产商尽可能快速地采取措施来保护他们的用户。 

　　多长的时间才算太长？ 

　　Ferris说：“微软公司显然在修补漏洞方面花的时间太长了。所有的研究人员都应该遵守负责任的披露漏洞的方针原则，但是如果某个生产商比如微软公司要花6个月到1年的时间来修复一个漏洞，那么研究人员就有充分的权利公开漏洞的所有细节资料。” 

　　Ferris说，到那个时候，也许其他的某个用心险恶的人可能也已经发现了同一个漏洞并且可能正在利用这个漏洞来攻击相关的用户了。 

　　微软公司常常因为其软件产品中的漏洞受到用户们的痛责，它现在正在尽其所能地赢得安全社区的尊重。微软公司拥有一些“社区顶级专家”，他们在全球各地会见安全研究人员，主持安全方面的各种会议，计划每年在微软公司总部与黑客们进行2次“蓝帽”峰会。在蓝帽大会上，黑客们被微软公司邀请到微软公司的总部来说明微软公司产品中的安全漏洞。 

　　微软公司安全分部的程序管理员Stephen Toulouse说：“安全研究人员为我们的用户提供了一项有价值的服务，可以帮助我们保证我们的产品的安全。我们想与他们面对面地交谈，彼此相互了解对方对安全问题的看法，然后看我们怎么做才能更好地保护我们的客户。” 

　　iDefense Labs实验室主任Michael Sutton称，现在许多公司已经渐渐知道如何对待安全研究人员了。iDefense Labs实验室本身就是专门与研究人员和软件生产商打交道的一个机构。他说：“虽然还有许多软件生产商正在朝着相反的方向前进，但是现在的环境与两三年前相比已经发现了实实在在的变化。” 

　　虽然微软公司有时还是会被看作是“邪恶帝国”，但是它似乎正在赢得安全研究人员的好感。 

　　去年三月曾经参加了微软公司第一届蓝帽大会的安全研究人员Dan Kaminsky曾经说过：“我们现在处在的位置是，我们告诉微软公司去做的事情，微软公司已经都做了。” 

　　折中平衡的做法 

　　其他的技术公司们仍然在同黑客社区的关系的问题上苦苦挣扎。尤其是思科公司想方设法地疏远黑客社区。在今年的防卫大会上，印有反思科公司口号的T恤衫极其热销。研究人员们称，甲骨文公司也不喜欢更黑客社区走得太近。 

　　安全研究者Michael Lynn在黑帽安全大会上演示了攻破路由器软件的过程之后，思科公司在上个月对他提出了控诉。思科公司之前曾经试图阻止Lynn在演讲台上发表演讲。 

　　iDefense实验室的Sutton说：“思科公司的反应真是让人惊奇。我并不认为那是最好的做法。我认为那种做法是非常少有的，大部分的软件生产商都正在意识到我们并不想跟他们对着干，而是想与他们合作。” 

　　思科公司坚持Lynn的发现没有任何价值，但是思科公司同时又对他将信息公布于众的做法十分不满。” 

　　思科公司安全技术分公司首席技术官Bob Gleicoff说：“Lynn的这种做法违反了处理安全漏洞的正常协议。”“我们是真正的一贯坚持协议的人。” 

　　但是在如何看待研究人员的问题上，似乎思科公司早有几个类似的前科。 

　　在2004年早期，Paul Watson发现在TCP/IP协议中存在一个漏洞，该漏洞可能会被一些网络软件利用，包括思科公司的路由器软件在内。Watson说他最开始用电子邮件通知了思科公司的两名工程师，他们迅速地回复了他。他说，他们给他许多帮助，甚至还对他的研究提出了许多想法和意见。 

　　Watson说，但是当这个问题被思科公司官方小组评定为一个严重的安全漏洞时，他们之间的交流的态度立刻发生了转变。思科公司仍然希望Watson提供有关的信息，但是却对他的疑问不闻不问。Watson向思科公司提供了几种可能的解决问题的办法。 

　　由于无法与思科公司交流，Watson决定在2004年4月召开的 CanSecWest安全大会上将他的研究成果展示出来。结果与黑帽大会的情形差不多，思科公司和美国国内安全部要求大会组织者取消了Watson的演讲。他们的要求被大会组织者拒绝了。 

　　演讲的时间越来越近，思科公司被迫采取了行动。思科公司在大会前几天发布了几个相关的漏洞修补程序。然而，思科公司不仅拿出了补丁，它还对该漏洞的修复程序申请了专利权。大家都以为思科公司会对这个修复程序收费，而这个漏洞还影响到其他的一些软件生产商，尽管思科公司后来并没有收费，但是还是引起了业界的一片恐慌。 

　　Watson在电子邮件中说：“我感到十分震惊。这真是破坏了我对他们的信任。”他说，思科公司与其他的软件生产商一样，希望安全研究者们私下向他们报告软件中的漏洞，并且在漏洞披露之前有时间来修复这些漏洞。但是思科公司却利用这段时间来申请专利权。