吃瓜，隨便看看，員工向Github提交漏洞被叫到派出所

無聊死了，大半夜的吃瓜，網(wǎng)傳，深信服一白帽員工因向 Github 提交漏洞，被叫到派出所問話。

深信服你知道是啥嗎？

就是好多公司在用的監(jiān)控你上班在干啥的，造嗎？

事情的原因還是因為錢鬧的？

吐槽原文

我做夢都想不到，今天我居然被叫到了轄區(qū)分局原因，居然是貴公司說我把漏洞公開在境外平臺。

在此次事件之前，貴公司之前口口聲聲說這是業(yè)務(wù)正常功能設(shè)計，這個時候報案為什么要說是漏洞了？

你是一開始抱著想吃掉我的漏洞發(fā)現(xiàn)不成就要報警？這不是明擺著欺負人？還說什么 Github 是境外平臺。

那我冒昧問一下既然一口要死是境外平臺為什么國家還讓大家訪問這個站點？

為什么深信服要使用 Github 的代碼？

為什么國內(nèi)優(yōu)秀的廠商在上面開源自己的知識？

是不是所有的使用 Github 平臺的人都是在賣國？

真是滑天下之大稽。

我在5月13號說明了漏洞的情況，以及利用條件，他當(dāng)初給我的答復(fù)就是可以給2W獎金讓我先提交到后臺。

5月18號提交之后說要等三天三天之后再問，就是一句這是正常功能設(shè)計不認可這是漏洞，我不接受。

讓他給我一個合理的解釋說服，自己給不出，然后申請仲裁無果就不再回復(fù)我了。

現(xiàn)在就直接給我報警了，我真是開眼了！

貴公司現(xiàn)在這樣的行為跟當(dāng)初世紀(jì)佳緣的行為有什么區(qū)別？

免費收漏洞不成就要報警抓！我這個白帽子這手段可真是高啊！

今天去了分局，跟警察同志說明情況后，警察同志對我的行為表示理解和認可，但是這個事這絕對不會到此結(jié)束，我會把你們的行徑公開，讓大家都來看看來評評理。

深信服一個這么大的公司是怎么欺壓一個普通白帽子的。

官方回復(fù)

大家好，首先，我們公司一直都有在對接處理，也很尊重平臺的每一位白帽子。

IDxxx 提出的問題，前前后后經(jīng)歷了評估、仲裁、再次評估等多輪的少則10多天，多則半個月一個月的過程。

我們最終給出反饋，自認為是公平公正的，本次提交被拒絕漏洞，原因是攻擊前提是需要管理員提前配置指定進程 hash 和進程信息，屬于特定場景下的正常功能。

我們工作人員并沒有在沒看到漏洞詳情的時候承諾獎金，也一直是友好耐心地解釋獎金范圍。

研發(fā)人員也經(jīng)常在提供的不完整的信息里加班加點驗證，一是尊重提交者，二是尊重我們的廣大客戶，絕不敢有紕漏。

因為所有平臺都是要求先提交詳情，再評估給獎金，這是行業(yè)常識，我們也不想因為個例就破壞行業(yè)的共識。

為什么報警？

是因為之前有公布我們的其他漏洞，這個行為給我們的很多客戶帶來了非常不必要的麻煩。

然后以此作為談價格的籌碼，這個行為我們無法認可，相信群內(nèi)的所有人都無法認可，也破壞了廣大白帽子權(quán)益的。

報警主要是真的出于對我們客戶利益的保護，很擔(dān)心后面又有什么非法的行為，為我們的客戶帶來真的損失就已經(jīng)為時已晚。

最后我想發(fā)起一個小調(diào)研，有多少對我們 SRC 不滿意的，有多少對我們 SRC 滿意的?

對接過的各位，我認為是最有發(fā)言權(quán)的。

工作不到位的地方我們會虛心接受建議并改正，給大家一個更好的體驗，也謝謝大家長期以來的支持。