Roger Johnston: 我的索引真正针对的是物理安全。IT则属于完全不同领域。让我们假设,你正在玩家用电脑进突然发现了一个非常严重的软件漏洞。虽有不同观点,不过多数人赞 成你采取以下行动:联系软件公司,并告之"我认为这里存在一个问题",为他们提供一个修复这一漏洞的机会。如果过了一段时间,他们仅在是进行讨论而未采取 任何措施,那么可能你就必须将这一问题公开。一旦他们修复这一问题,也就不会有大影响了。毕竟,每个购买这一产品的人通常会检查一下产品是否有升级功能。
而物理安全则并不是如此。在许多情况下,物理安全系统都是来自于许多不同供应商,而且极可能还是由第三方供应商组装而成。通常,没有一家公司对一个潜在 漏洞进行投诉。此外,修复方式不只是一些软件下载。修复方式可能需服务人员出动,更换一些零件,因此它可能是非常昂贵且具破坏性的。在你让每个人全注意到 一个物理安全漏洞时,你可能先要先考虑一下这种方式对于修复这一问题实用吗?
Scalet: 你曾写道:当漏洞评估得到特许时,赞助人可拥有发现成果,但这也未必就表示漏洞评估员不用负责警告他人目前有一个明显的危险存在。这点可能让那些想要雇人进行漏洞评估的CSO在心里有些担心害怕,从而想要一纸合约来确保评估结果依然为私人所有。
Roger Johnston: 举个典型例子吧。假设一家公司正考虑采用一款商用安全设备。让我们假设我们对这款设备做一次漏洞评估,可如果你用一纸合约就可横加干涉,那么评估结果将起 不到什么大作用。我们知道商用设备一直被用于包括企业安全、美国国家安全以及核保障在内的各种应用中。我们相信我们负有道义上的责任,应告诉人们可能存在 的问题。对于我们的这种处理方式,与我们合作过的大多数公司都未有任何异议;在一些案例中,甚至有一些企业是鼓励我们这样做的。
