我应该等多久才能宣传免费/开源项目中的漏洞？

Question

在我对Apache许可下分发的免费软件包的评论中,我发现了一些错误,从模糊的代码问题到安全漏洞.

我采取了以下步骤:

• 两个星期前我通过私人电子邮件通知了项目负责人,除了对所述电子邮件的确认之外,我还没有看到有关我提出的问题的任何内部或外部活动.
• 我遵循了SANS和Wiretrip制定的政策.

问题

• 我应该跟进另一封电子邮件吗？
• 如果没有回复,我应该继续公开发布这些问题吗？
• 是否有人(从任何一方)经历过这个问题,对于如何处理这个问题有什么好的建议吗？

Answer 1

说实话,如果出现以下情况,您没有义务:

1. 您在合法安装软件时发现了问题(遵循所有ToS/Fair使用指南等)
2. 你没有修改或故意在系统上安装这样的方式是不安全的(即目的地卸载安全措施,它有)危及系统的安全性在任何已知的方式
3. 在同一个市场领域,你不可能被认为是经济利益的竞争对手.

如果这个产品是纯开源的,可以自由使用,最后显然是真的,只留下前两个要考虑(如果有商业许可,这可能是一个不同的问题).

您公开可以,只要你提供,他们是你的意见,你回来说在某种形式的证明(最好由第三方验证)(博客,邮件列表等)的问题了记录您有任何软件问题.

如果你是专门分配给研发的产品,或打算发布你的发现为您的企业报告的一部分一位安全研究人员,法律部门将有你需要遵循(与他们协商)其他规则.

我相信这种困境纯粹是道德的,我想引用你帖子的一部分:

I do have somewhat selfish reasons for saying "look how clever I am! I found these problems in the code!" but they are tempered by wanting to give the developers time to fix the code and I know well that ego and pride can be involved in these matters.

If you consider your ethical reasoning to be fair then you should follow whatever common sense you find most reasonable (I believe SANS to be very fair in this case).