在2月27日这天,豆包手机助手在微博上发了个严正声明,说有人恶意炒作它的漏洞搞黑公关。声明里提到他们目前没收到详细报告,也没接到监管部门的通报。按照国家规定,违规公开漏洞已经是违法了。这事儿让大家开始讨论,为啥发现了漏洞不能马上公开呢?其实早在2021年,中华人民共和国的公安部、国家互联网信息办公室和工业和信息化部就联合发了个《网络产品安全漏洞管理规定》。第一条就说了,这是为了规范发现、报告、修补和发布这些行为,防止安全风险。第六条还鼓励大家向厂商通报问题。第九条规定不能在修补措施出来前就发漏洞信息。第九款还要求发布时要同步发修复措施。 所谓的漏洞“抢发”,就是在厂商还没修好漏洞前,就把它的信息给捅出去,甚至夸大其词让人恐慌。想一下,厂商还没意识到问题时,技术细节都已经在网上被公开了。对于黑客来说,这哪是漏洞曝光啊,简直是个现成的入侵教程。而普通用户只知道自家不安全,却不知道该怎么办。有人觉得曝光是行业监督,但正当的监督和恶意抢发有本质区别。正当监督是先向厂商上报细节协助排查修复,等措施落地再公布解决方案。全球都把“负责任漏洞披露”当成准则了。 在确保问题被解决好之前不公开传播细节。这不是包庇企业掩盖问题,反而是为了不让旧问题变成新麻烦。