微软批评了零日安全漏洞的公开披露行为,就在其删除GitHub上一位研究员的账户之后。这一行动直接影响到普通用户,因为它延迟了Windows或Office等日常软件中漏洞的修复。数字保护依赖于透明度与企业控制之间的平衡。
让研究人员沉默的代价 🔍
当一家公司删除报告漏洞的研究员的账户时,会产生威慑效应。其他专家在分享关键漏洞时会犹豫不决。这延长了修复时间,使数百万用户暴露在风险中。没有公开获取信息的渠道,补丁的推出就会更慢。更新周期放缓,网络犯罪分子则趁机利用这一机会窗口。安全不会因信息减少而改善,反而需要更多合作。
从未到来的补丁(因为信使被删了) 🛡️
微软似乎更愿意杀死信使,而不是阅读消息。如果一位研究员在Office中发现了一个关键错误,最好删除他的GitHub账户,然后抱怨人们泄露了它。这样一来,用户得到的不是快速补丁,而是一份企业声明,以及希望下一个零日漏洞不会清空他们的银行账户。好在安全是第一位的。