security - 我应该等待多长时间才能公开免费/开源项目中的漏洞？

Question

关闭。这个问题是opinion-based .它目前不接受答案。












想改进这个问题？更新问题，以便 editing this post 可以用事实和引用来回答它.

6年前关闭。




Improve this question




在我审查根据 Apache 许可分发的免费软件包时，我发现了许多错误，从晦涩的代码问题到安全漏洞。
我已采取以下步骤:

两周前，我通过私有(private)电子邮件通知了项目负责人，除了对上述电子邮件的确认外，我没有看到任何关于我提出的问题的内部或外部事件。

我已遵守 SANS 制定的政策和 Wiretrip .

问题

我应该跟进另一封电子邮件吗？

如果没有回应，我应该继续公开发布这些问题吗？

有没有人经历过这个(从任何一方)对如何处理这个有什么好的建议？

Answer 1

老实说，如果出现以下情况，您没有任何义务:

您在软件的合法安装下发现了问题(遵循所有 ToS/Fair 使用指南等)

您没有通过故意将系统设置为不安全的方式(即故意卸载其拥有的安全措施)

以任何已知方式修改或损害系统的安全性

在同一市场空间中，您不可能被视为经济利益的竞争对手。

如果这个产品是纯粹的开源并且在免费许可下，最后一个显然是正确的，只考虑前两个(如果它有商业许可，这可能是另一回事)。

您可以公开记录您对软件的任何问题，只要您提供它们是您的意见，并且您以某种形式(博客、邮件列表等)用证据(最好由第三方验证)支持所说的问题.

如果您是专门负责研究产品的安全研究人员，或者打算将您的发现作为公司报告的一部分发布，您的法律部门将有额外的规则需要您遵守(咨询他们)。

我相信这种困境纯粹是道德的，我想引用你帖子的一部分:

I do have somewhat selfish reasons for saying "look how clever I am! I found these problems in the code!" but they are tempered by wanting to give the developers time to fix the code and I know well that ego and pride can be involved in these matters.

如果您认为您的道德推理是公平的，那么您应该遵循您认为最合理的任何常识(我相信 SANS 在这种情况下非常公平)。