漏洞就是金钱

据悉，在美国谣言四起的WMF漏洞（Zero Day攻击），就是在公众根本不知情的状况下展开攻击的，这个漏洞的资料被卖到了4000美元，尽管这只是一起到目前也没有经过证实的传闻。

不过互联网上有消息称，即使像iDefense和3Com这样的大公司也愿意从这些安全研究者手中购买未公开发布的漏洞信息。套用国内流行的话，漏洞就是金钱。

记者在日常采访中了解到，那些拥有专门安全小组的安全厂商，基本上是不需要借助独立研究者的。但这些安全厂商提供的各种程序，却可以大大影响那些独立的研究人员。记得一家安全厂商的负责人就直言不讳地说：“因为有了这些程序，独立研究者就可以全身心地投入这种研究中。”倘若他很擅长于找出漏洞，他就能够以此为职业，这种研究工作也就变成专职的工作了。

不过，在美国这些事情正在遭受一定程度的道德谴责—安全研究者不应该昧着良心透露漏洞信息。不过记者想问，如果他们不公布，那么这些软件的开发商会不会积极主动地进行补漏？有些美国学者在论坛上表示，开发安全产品需要时间和金钱，很多软件公司不喜欢花费时间和金钱来解决这些问题，除非在这条底线上有了激烈的碰撞。

国外的安全论坛里争论激烈，他们大多数人认为，这些漏洞在它们被公开暴露之前就会对用户产生真正的威胁，而公开暴露这些漏洞则把公众推到了浪尖上。

对于这个问题，记者也不敢妄下结论，毕竟国内的情况有所不同。不过记者很想在这里起到抛砖引玉的作用，因为记者关心的是：作为读者，您会站在那一边呢？您相信漏洞仅仅在公开之后才成为一种真正的威胁？还是相信无论是否公开都会产生威胁？

不管怎样，有一点记者是很肯定的—那些安全研究者帮了用户的大忙，他们应该得到一些报酬。