是否公開發(fā)布安全漏洞（尤其是零日漏洞）的概念驗(yàn)證（PoC）代碼歷來是備受爭議的話題。在代碼公開之后往往會被威脅攻擊者所利用，在數(shù)天乃至數(shù)小時(shí)內(nèi)發(fā)起攻擊，導(dǎo)致終端用戶沒有充足的時(shí)間來修復(fù)受影響的系統(tǒng)。而公開這些PoC代碼的并非壞人或者其他獨(dú)立來源，而是理論上更應(yīng)該保護(hù)用戶的白帽安全研究人員。

圍繞著這個(gè)爭議做法的話題已經(jīng)持續(xù)多年時(shí)間，而信息安全領(lǐng)域的專家分成兩派。其中一方認(rèn)為安全研究人員不應(yīng)該發(fā)布PoC代碼，因?yàn)楣�擊者可以采用該代碼并自動(dòng)化攻擊；而另一方認(rèn)為PoC代碼同時(shí)是測試大型網(wǎng)絡(luò)和識別存在漏洞系統(tǒng)所必須的，允許IT部門成員模擬未來可能遭受到的攻擊。

在上個(gè)月發(fā)布的“ 網(wǎng)絡(luò)安全威脅觀2018年第四季度 ”報(bào)告中，Positive Technologies的安全專家再次觸及了這場長期爭論。

在這份報(bào)告中，Positive Technologies的安全專家并沒有給這個(gè)爭論下判斷，而是客觀陳述了當(dāng)前用戶面臨的安全問題。在漏洞發(fā)現(xiàn)的新聞曝光或者零日漏洞的PoC代碼公開之后，在兩種情況下黑客并沒有為用戶提供充足的時(shí)間來修復(fù)系統(tǒng)。

在這份季度威脅報(bào)告中，Positive Technologies表示這種情況發(fā)生的頻率越來越多。在報(bào)告中通過羅列了一系列安全事件，表明在PoC代碼公開之后會立即被黑客所利用。例如在推特上有安全專家公開了 Windows 系統(tǒng)零日漏洞的PoC代碼，隨后ESET安全專家就觀測到了此類惡意軟件活動(dòng)。例如在網(wǎng)絡(luò)上關(guān)于中文PHP框架的漏洞公開之后，數(shù)百萬網(wǎng)站立即遭到了攻擊。

在接受外媒ZDNet采訪時(shí)候，Positive Technologies的安全彈性負(fù)責(zé)人Leigh－Anne Galloway表示：“作為安全行業(yè)的一員，我們有責(zé)任倡導(dǎo)漏洞公示守則。但是并非所有人都遵循這個(gè)原則。同樣并非所有安全供應(yīng)商都知道或者了解�！�

通常公開披露的驅(qū)動(dòng)因素是因?yàn)楣��?yīng)商沒有認(rèn)識到問題的嚴(yán)重性，也沒有解決漏洞�；蛘甙踩�研究人員可能已經(jīng)嘗試了所有其他途徑來傳達(dá)他們的發(fā)現(xiàn)。當(dāng)然，危險(xiǎn)的是犯罪分子可能使用此信息來攻擊受害者。供應(yīng)商要求提供證據(jù)證明該漏洞實(shí)際存在于他們的產(chǎn)品中，并且當(dāng)研究人員向他們報(bào)告漏洞時(shí)可以利用這些漏洞。研究人員需要證明它是如何被利用的，為此創(chuàng)建了PoC代碼。

通過CVSS系統(tǒng)來標(biāo)記該漏洞的危險(xiǎn)程度。如果供應(yīng)商向研究人員支付漏洞獎(jiǎng)勵(lì)框架內(nèi)發(fā)現(xiàn)的漏洞，研究人員會從這項(xiàng)工作中賺錢，但供應(yīng)商通常不會安排他們的bug－bounty計(jì)劃，研究人員可以從中得到的所有內(nèi)容都是專家社區(qū)的公開認(rèn)可。通過在互聯(lián)網(wǎng)上演示漏洞，展示操作和PoC代碼的一個(gè)例子，研究人員得到了認(rèn)可和尊重。

通常情況下，研究人員只有在他們通知供應(yīng)商有關(guān)漏洞的足夠長時(shí)間后才會發(fā)布漏洞利用代碼，從而使產(chǎn)品開發(fā)人員有機(jī)會關(guān)閉漏洞并通知用戶需要安裝升級。但是，很多時(shí)候，供應(yīng)商會推遲發(fā)布補(bǔ)丁和更新，有時(shí)會延遲六個(gè)月以上，因此，在發(fā)布補(bǔ)丁之后，［PoC］漏洞的公示就會發(fā)生。