Scalet: 当CSO告诉他（她）所在公司有安全漏洞时，我们已看到可能有一种"枪毙传信人"的后果。[请参考"Don't Shoot the Messenger."]我们用什么方式才能避免或至少减轻这个后果？

　　Roger Johnston:我们极力鼓励人们不要将安全漏洞视为坏消息，而要认为它是一个很棒的消息。因为当你发现安全漏洞时，也就证明你知道要采取哪些保护措施。

　　Scalet: 但您仍不得不让人们按这条路线往下走，总有些麻烦事可能发生。

　　Roger Johnston: 我们所有漏洞评估报告一开头，总是会指出安全漏洞所带来好的一面。祸兮福所伏，任何事情总有其好的一面。比如：有时若未及时发现这些漏洞就可能会发生大事 故，而通过指出这些漏洞，我们就能认识到错误所在，及时加以改正。另外，我们还总是在报告一开头就指出，我们将发现更多漏洞，而不是告诉人们漏洞情况有可 能会减轻。我们还会为你们提供比你们可能要用到要多更多的修改建议。这样事情就解决了。不过，这种做法的底线是漏洞评估员在报告中并不能告诉你会导致怎样 变化。在报告中，我们会指出我们所认为问题所在，我们认为可用的解决方案。当然，最终要如何处理，最终决定权仍在你自己手上。

　　用二元 思维方式看安全问题，事情只有安全或不安全两种说法；而对于安全漏洞，或者我们必须掌握所有涉及到安全漏洞，或者我们索性甩手不干了，当然后者过于荒唐。 但安全却是一个持续性问题。总是会有些漏洞并未得到处理，但这并不意味着是有人把事情搞砸了，这仅仅是安全的运作方式。

　　Scalet: 在提出问题清单和可用解决方案清单时，所得到的比率是80/20。在这里，您能以20%的解决方案解决80%的问题吗？

　 　是可以做到的。人们常说"嘿，你的意思是告诉我只需做出一点改变，这种攻击和这种攻击和这种攻击和这其它攻击基本上就都能避开了？"这点确实相当令人惊 喜的。有时安全漏洞特别复杂，而解决方案可能不是100%完美，但通常却是相当简单。我们是在为政府工作，也许对于什么才是经济可行的实施方案，我们并不 能一直保有最实际看法。有时我们认为简单的，在现实世界中实际操作起来却并不简单。但这点也还说得过去。有时，我们的建议只是引导终端用户进行自我思考， 然后也许他们就提出自己的解决方案来。