大哥中文网 > 科技之锤 > 332 N重误解

332 N重误解

大哥中文网 www.dgzw.com,最快更新科技之锤 !

    阿伯塔·林恩是很想硬气起来的,其实以往他都能很硬气,甚至如果哪位安全专家发现了java想要拿到奖金的时候,基金会都能很硬气。

    比如跟宁为探讨一下,如果想要奖金,那漏洞就不能以这种方式曝光;比如他很想告诉宁为要对他们这些开源工作者足够的尊重,他们在全球有着数以百万的客户,有以千万计算的程序员靠他们提供的免费程序生活……

    但这些话终于还是活生生的忍住了。

    原因其实很多,也许因为他真不知道宁为手上到底是否掌握了很多漏洞,他也无法确定宁为是否到底在借题发挥,他甚至不能确定宁为是不是想推出一款全新的计算机语言,所以先拿Java开刀。

    对面那个年轻的学术大家以往的战绩太过辉煌,让他没法硬气起来,在无语过后,也只能顺着宁为的意思说了下去,毕竟如果能花点钱买平安的话,也许是最好的结果。

    唯一的问题是,对面燕北大学教授似乎没太听懂他的意思,似乎是在讨要这次Log4j2漏洞的奖金。

    说真的,其他漏洞的奖金阿伯塔·林恩肯定愿意给,只要宁为愿意把漏洞提交给他们,他甚至可以不关注宁为提交的材料格式是否规范,但是这个漏洞……

    “宁教授,捐款这个好说,但我希望能确定的是,您手上是否还有关于Java其他的漏洞……”

    “怎么?你们还想多给我们的宁班捐点款?放心吧,有肯定是有的。真的,我之前也没想到Java的漏洞还是挺多的。如果你们真的肯无私的帮助我们华夏建设教育事业,我也可以再给你们提供一些。”宁为爽朗的说道。

    这事一出宁为直接找上三月,自然是知道三月有搜集几乎现在所有主流计算机语言跟软件的漏洞,其中也包括主流的操作系统。只是这事一直停留在让三月进行搜集,宁为还没拿出来用过。

    当时搜集这些漏洞其实还是为了更好的推进三月智能平台,那个时候宁为想的其实很简单,让那些大企业加入到三月智能平台的筹建,他们给出现在三月最需要的数据,平台这边当然也要回报给这些企业等值的东西。

    帮助这些企业找到深藏在代码中的漏洞,也是算是加入平台的福利了,可谁知道宁为认为这是双赢的局面,可人家都不太领情,于是这些东西三月是收集了,但都没派上用场。

    怎么说呢,强人工智能时代,所有人似乎都小看了强人工智能的能力,这让宁为也觉得很无奈。现在这种情况,大概就属于废料利用了。

    以宁为现在的身份跟地位,自然不可能干出拿着一堆的漏洞去牟利这种事情,也就是这次事情正好碰上了,不然宁为自己都快忘了还有这么一茬儿。

    宁为的话却把阿伯塔·林恩彻底给整不会了。

    基金会肯捐款就再多提供一些BUG的意思,在他的理解便是需要基金会先给燕北大学捐款,然后宁为再告诉他们java的一些bug。但这跟流程不符,一般的流程明明应该是,宁为先提交bug,然后由专业的安全人员对bug进行审核,然后按照内部规定确定奖金的等级,然后再把钱打给bug的提供者。

    这先捐钱……多少合适?

    很想跟宁为说说规矩,但是想到对面似乎就不是个喜欢按条理出牌的大佬,而且随手曝出的漏洞的确太过恐怖,阿伯塔·林恩又犹豫了。

    审慎的思考了半晌后,阿伯塔·林恩终究还是决定妥协,说道:“我愿意代表基金会向燕北大学捐款500万美元,宁教授觉得如何?”

    “五百万美元?哦,懂了,你们的意思是,我要先给你们漏洞,然后你们才会决定捐多少款的对吧?这五百万美元就是之前我给你们这个漏洞的奖金?对吧?那等会我再给你们发个漏洞详细情况,你看看能捐多少,我心里也好有个数?”宁为问了句。

    阿伯塔·林恩无语了……他是真的没想到宁为胃口能这么大,感觉像是在被讹诈。但其实他是真的误会了宁为,如果他跟一些行业内大佬多交流一下,就会知道现在他的许多同胞大佬找上宁为送钱的时候,开口就是以亿为单位,到了他这里张口五百万,着实没能提起宁为太大兴趣。

    说白了,这纯粹是胃口被养叼了,又或者说对钱已经没什么概念了,阿伯塔·林恩的同胞们已经成功让宁为产生了一种对岸大公司都极其富有的,说到给钱,那是一个比一个大方。

    “不是,宁教授,您可能对漏洞奖金这块有什么误解。实际上按照Password公布的漏洞奖励标准,一般来说0day的高危漏洞最高也就是20万美元的奖金。以谷歌为例,去年全年谷歌在发现漏洞奖励方面的投入也不过700万美元,这已经很多了,微软跟苹果在漏洞奖金方面的花销甚至还要少于谷歌。”

    “Apache基金会作为一家为世界许多公司免费提供软件使用的公司,其实在提供漏洞奖励这块更不可能有太多的资金投入。以Java为例,很多漏洞都是我们内部会员免费提供给我们的。这五百万美元的捐款是希望您能将掌握的漏洞都能提前交给我们,让我们能对Java进行更好更有针对性的优化,这也是我们希望对数以百万计的会员负责。”

    阿伯塔·林恩苦笑着解释道。

    宁为恍然大悟。

    他是真从没关心过所谓的漏洞奖金什么的,毕竟他不靠这个发财,只是听了阿伯塔·林恩的话,宁为感叹道:“原来是这样啊!难怪这些公司的产品推出那么多年了,漏洞还那么多,原来这些大公司在漏洞奖金这块的支出这么小气啊?能给黑客带来数以亿计收入的漏洞,奖金最高才给到20万美元?安全专家们找到了漏洞哪有动力去跟那些黑客一起研究这些啊。”

    阿伯塔·林恩当然不会告诉宁为,大公司明面上给予的漏洞奖励是一套,同时还有专门的人员在会盯着黑市上直接交易的漏洞。就算他想解释,整个漏洞产业链也是非常复杂的,三言两语又哪里说得清楚?只能耐心的跟宁为科普道:“不不不,宁教授,您不能这么说。毕竟找漏洞拿奖金是完全合法的,值得提倡。利用漏洞牟利放在任何一个法制健全的国家都是非法的,是要受到打击的。这两者真不能放到一起比较。”

    宁为兴趣缺缺的说道:“那行吧,五百万就五百万吧。回头我会提供一个有问题的列表发到你们的官方邮箱,当然你们只捐了这么点钱,我也就只能随便截张图给你们了,可能不全,也不会给你们再做演示了。就这样吧,再见,林恩先生。对了,记得这五百万是定向捐给宁班的,别搞错了。”

    虽然说市场行情就是这样,但宁为还是觉得索然无味。就好像鸡肋,弃之可惜。不过五百万美元也是好几千万人民币了,用来给宁班发发福利其实也还行。

    但想到其他大富豪一般给学校捐款都是上亿上亿的捐出去,他这要点捐款才五百万美元,的确还是有心理落差的。

    “等等,要不一千万美元?真的,宁教授,这是我们在修补漏洞这块好几年的预算,都准备拿出来为未来宁班的建设出点力,这……应该差不多了吧?但有一点,以后如果您的团队又发现了其他漏洞,能否按照流程先提交给我们Apache基金会,由官方决定什么时候对外发布?”

    “那如果你们一直不更新补上漏洞岂不是漏洞会一直存在?”

    “这其实可以定一个给官方反应的日期,比如一个月。如果我们在确认收到您发的漏洞信息之后一个月还没有针对漏洞发布更新补丁,您就可以将这些漏洞提交给其他网络安全公司。”

    “那……行吧!一个月的时间虽然长了点,但事情还是要做完美些好。这样,你们把这笔钱捐给宁班之后,我会把我们团队掌握的一些漏洞发到官方的邮箱。”

    “您放心,我们马上就会联系燕北大学那边了解捐款渠道,这一千万今天应该就能特批下来,但不能确定什么时候到指定的捐款账户上。您知道的,大笔转账需要些审核的时间。不过我们可以在官网同步宣布这个消息,保证这笔钱能到位的。”

    “行吧,那我等会给你们发一份清单过去。就这样吧,我先挂了。”

    听到清单两个字,阿伯塔·林恩忍不住抖了抖眉毛,突然觉得这一千万美元花得大概值了。

    “好的,再见,宁教授。”

    “再见,林恩先生。”

    ……

    不太让人愉悦的一通电话之后,宁为让三月再次调出了Java的漏洞库列表,看了整整五页的内容,干脆让三月按危险度比例挑选了列表中一半的漏洞详情,发给了Apache官方提供的邮箱。

    这个数字是很恰当的,完全按照阿伯塔·林恩刚才说的价格来的,起码在宁为看来对得起对方捐赠的那一千万美元了。要找出并整理这些漏洞,还是消耗了三月不少算力的,大家又并非朋友,他当然不可能给基金会做义务工。

    等值交换就挺好,谁也不占谁便宜。

    但即便如此,当对面接收到邮件的时候,一帮技术人员都愣住了。

    这是在开玩笑嘛?

    列表里竟然有13个还没发现的高危漏洞?21个中危漏洞以及49个低危漏洞?

    低危漏洞暂且不谈,影响不是很大,但这30多个中、高危漏洞真的把所有人都吓出了一身冷汗。

    其实任何软件都有漏洞,但是一次性拿到如此多漏洞却是所有人都没有过的体验,这次宁为可没有专门做演示如何利用这些漏洞,只有三月给出的简单描述。

    在受到惊吓之后,技术人员们很快开始测试并确定了这30多个中、高危漏洞的确存在。就这样宁为提供的漏洞列表跟测试结果很快摆在了阿伯塔·林恩的案头。

    看过之后这位Apache基金会的负责人也是一身冷汗,然后长出了一口气。怎么说呢,阿伯塔·林恩本以为宁为能在给出三、五个高危漏洞已经是他所能承受的极限了,给出一千万的捐款,其实更多的是想着结个善缘。

    对于使用极为广泛的软件来说,漏洞这东西是无法杜绝的。

    也许就因为一次封堵漏洞的更新,可能又会出现新的漏洞。

    多花点钱,让宁为以后能按照约定俗成的规矩来,对于他们来说也算是赚了。

    谁敢想宁为竟然真的掌握了如此多的漏洞资料?想到宁为在微博上说,不介意让Java程序员们忙上一整年这好像还真不是吹牛……

    所以理论上来说,这一千万美元捐得的确挺值的。想到这里,阿伯塔·林恩也不敢在怠慢,立刻开始打电话指挥个部门按照刚才跟宁为的口头协议开始动了起来。

    这钱肯定是要捐的,好感是必须要刷的。

    这么多漏洞如果真的同时在外界曝光,结合刚刚log4j2造成的影响,能让无数人直接崩溃掉,甚至对Java的整体安全性产生质疑,一旦有了这种刻板印象,那才是最大的打击。

    虽然短时间内,大家可能还不得不硬着头皮继续使用Java环境,因为很多项目有其延续性,但未来就说不好了。如果失去了大批客户的青睐,Java也不是不可替代的,或者说这个时代没有哪种计算机语言是不可替代的。

    然而等阿伯塔·林恩忙完这一切,看到官网上也挂上了将向燕北大学宁班捐款的消息,长出了一口气的同时又突然愣住了。

    因为他突然想到了跟宁为最后一个约定。

    是的,两人约定了在宁为将这些漏洞提供给了他们之后,只会保持沉默一个月。如果一个月之后,官方没能把这些漏洞封堵上,宁为还是会像之前一样,将这些漏洞公布给那些网络安全公司跟各大服务器提供商?

    真的,不是阿伯塔·伯恩小看官方那些负责解决漏洞的程序员们。如果只有三、五个漏洞,一个月的时间大概够了。但如果是几十个遍及不同位置的漏洞,这一个月的时间真的够吗?

    要知道每次对外发布公告以及更新之前,还需要经过严谨的内部测试,起码得确保为了弥补漏洞而做的更新不会搞出更大的漏洞来吧?

    调bug对任何程序员来说都不是件简单的事情,许多时候甚至牵一发而动全身。bug越调越多可不是什么玩笑话,这一点游戏玩家大概都有过体验,眼看着有些越更新越大,BUG还越多,观感当真是一言难尽。

    其实任何程序都是如此,许多在程序设计初期就测试出的BUG还好说,还能退一步海阔天空。但是像已经有巨大影响力的软件,要一次性解决这么多BUG,只能靠修补的办法,那就真不好说了。

    这还是软件漏洞相对比较好处理的情况,像那些做硬件的,比如英特尔,一个CPU漏洞传几代的情况都是有的……

    所以三、五个大漏洞,一个月的时间紧一紧,多拿点奖励出去,说不得也勉强够了,但几十个BUG要修补,一个月时间就真的是在开玩笑了。

    想到这个问题,阿伯塔·林恩是真的木了。目光不自觉地落到了手机上……

    脸顿时苦了,不行,他还得给宁为打个电话,当想到刚才的通话,对面那个难搞的态度,阿伯塔·林恩有些后悔刚才做的那么积极了。但没办法,他真的怕宁为很认真的履行约定……

    唯一的好处是,这次不用等大佬帮他牵线了,自己的号码应该已经在宁为的通讯录里了吧?

    ……

    “喂,宁为教授,真不好意思,没有打扰到您吧?”

    “其实是打扰了,林恩先生,您可能不知道,我有饭后跟爱人在湖边散步的习惯。现在距离我们刚才通话已经过去了两小时,我刚刚吃完饭正在跟我喜欢的女孩散步,刚刚还在跟她说着笑话来着,你这个电话把我思路都打断了……”

    “哈哈,宁教授,您可真会开玩笑。”

    “呵呵……”

    “是这样的,宁教授,刚才我们收到你发来的漏洞列表了,真的非常感谢您对我们工作的支持。但是一次性处理这么多BUG,对我们来说是个极大的挑战。所以我想,一个月时间可能不够……”

    “你们都已经知道了问题在哪儿了,一个月的时间怎么可能不够?”

    “这个……”

    “真的,林恩先生,你们这效率太低了。如果你对你们技术部门没有信心的话,我的团队到是可以帮你们做个顾问,一个月时间肯定能把这些BUG解决掉。”

    “啊?这个,可以吗?”

    “当然可以的。不过还是那句话,我们宁班现在百废待兴……”

    “不用说了,宁教授,我决定代表基金会再向宁班捐赠一千万美元,以表达基金会对华夏高校教育的支持。希望这笔钱能培养出更多的计算机人才,推动世界计算机语言的发展。”

    “我代表宁班感谢你的慷慨,林恩先生。嗯,回头我会将解决问题的思路还是通过邮件发送给你们的。”

    “谢谢了,宁教授!”

    “不客气,再见!”