几年前，我曾经为某软件不承认安全漏洞的事情写过文章，总以为经过几年的，国内软件厂商在安全上的意识多少会提高一点，然而失望的是，看到的依然是阿里巴巴，抵死不承认支付宝安全漏洞的死硬形象。稍微有点不同的是：毕竟是与时共进：阿里巴巴是公关经理出面，看来危机公关的意识还是前进了一大步。可是按说企业的危机公关，公关者，就是搞好公众关系，危机者，当然是出了不利于自己公司的事情，但无论如何，公关首先是基于事实的，然后才能取信于用户，使得公司不会因为这个事情使得自己的形象受损。可是阿里巴巴采用的是完全具有中国特色的危机攻关方式：死猪不怕开水烫，打死不承认，以为只要掩盖的好，就没人会知道，可惜纸包不住火，TK已经发文详细介绍了相关情况：http://www.appbeta.com/modules.php?na ... e=article&sid=6409 ,
    具体细节这里我就不详述，正如非典使政府认识到隐瞒事实不是解决危机的方法一样，希望国内的软件厂商也应该认识到：抵死不承认安全漏洞，只会给你带来更大的损失。
    当然，我能理解软件厂商的担忧，承认安全漏洞是否会被竞争对手的攻击，导致客户的流失，但是首先，作为一个负责任的安全厂商，不承认安全漏洞的行为，只会给自己的客户带来更大的安全风险，一旦事实真相大白，更会被竞争对手利用，直接导致用户对你的不信任，带来的损失更大。两害相权应取其轻。妄想靠对客户掩盖事实真相而毫发不损，既不可能，也缺乏企业的商业道德。其次，这样的行为只会导致安全社区对你的失望，如果没有你第一次粗暴的对待主动向你提供漏洞的安全研究者的行为，又何来现在安全研究者直接发布的事情呢？当你再一次这样粗暴的无视事实的时候，下一次或许安全研究者只会地下发布你们的安全漏洞了，你知道后果是什么吗？这些0day漏洞可能在你完全不知觉的情况下，成为病毒和木马的温床，使所有使用你软件的客户都被入侵者所控制。当然，你还是可以拒绝认帐，但是当越来越多的你的客户受到损害，病毒木马厂商也会重视，公布出这些木马病毒入侵的来源，你的客户终于知道事实真相的时候，为了避免损失和对你信心的丧失，你的客户会大量流失改选其他竞争对手的产品，你的竞争对手也会肆意大做文章，或许那时候，你们终于得面对事实来危机公关，但是你们已经很难抹掉自己欺骗行为给用户带来的伤害和损失。
    聪明的厂商自会衡量其中轻重的，聪明厂商莫如微软者，当年的微软对待安全问题也是如此，也粗暴傲慢的对待过安全社区，记得我以前发布微软的漏洞后，微软曾经在一些公开的场合说过： xfocus is evil. 但是现在，微软不会这么说了，甚至，微软还成为XFOCUS的安全会议xcon的赞助商,为什么会有这个变化呢，我曾经问过微软的人：为什么微软会开始这么注重安全和安全社区：微软的人是这么回答的："很早以前，我们认为你们的行为会给我们带来商业损失，所以我们憎恨你们，但是，现在我们发现安全问题无可回避，利用微软安全漏洞的网络犯罪导致了我们客户巨大的损失，进而也损害了我们的声誉和很多商业利益，我们才发现，其实你们是我们的朋友，因为我们有共同的敌人：网络犯罪。",国内从事安全漏洞研究工作的人是有感触的：微软这两年对安全研究社区提交的漏洞是非常重视的，对这些提交漏洞的安全研究者，比之以前，也是不可同日而语。
    在微软出版的