老牌漏洞披露平台Full Disclosure宣布关闭

2014-03-23 +5 85423人围观 ,发现 12 个不明物体 资讯

对于安全界来说这是一个缅怀的日子,TheFull Disclosure security mailing list(以下称Full Disclosure),这一已经运营了12年,一个致力于发布漏洞开发与利用信息的网站服务正在关闭。而关于关闭的原因,一位创建者说是因为Full Disclosure的“自己人”破坏了这12年的共同努力。

John Cartwright,作为创建者之一,今日发布信息说Full Disclosure关闭的原因是安全社区的某人出于某种未知原因曾要求将大量的漏洞信息从公布清单中移除。John Cartwright没有说出这个提出要求某人的姓名,但他说他不愿意这一虚拟的信息平台因为某人的心血来潮来归档删除神马的。

时光回溯到2002年,最初的Full Disclosure只是Bugtraq的一个替代产物,因为Bugtraq的某些事物惹恼了它的一些成员。这一新的网站服务的初衷是追求一个更加自由的讨论形式。尤其是在初期,它经常批漏一些0day漏洞并附加上攻击代码。当然,许多软件厂商很不高兴,因为他们的产品漏洞数据信息就这样被公布在一个信息列表上。但是在2002年的时候,大多数的厂商还并没有建立安全响应机制、错误提交报告以及邮件反馈漏洞机制。于是,Full Disclosure这一包含软件硬件漏洞信息的平台开始逐渐被厂商们接受,许多厂商开始在Full Disclosure上做一些咨询意见。

Full Disclosure的麻烦滋扰总是与它的信息共享与之俱来,它经常接到厂商们法律意义上的威胁。但是令Cartwright始料未及的是Full Disclosure最后关闭的原因不是出于厂商方面,竟然是自己内部成员的行为。

“我从来没有想到,这种“请求”会来自“社区”内的研究者。但今天,我突然意识到,我已经花了很多时间来处理某个特定人(他依然无名)的抱怨与诉求。”Cartwright在他的公开信息中中表明。
“我不愿意再打这场硬仗了,在今天的环境下,一个开放的论坛已经很难运行下去了,更何况它还是有关安全方面的。在黑客之间谈及荣誉越来越少,更何必论及一个真正意义上的社区呢!整个安全界的游戏规则变得越来越“规范”,于这个行业而言,不得不说这是一种可悲的现状。”

Full Disclosure崭露头角的时候,大多数厂商还没有花过多的注意力在安全方面以及那些安全人员发现了其产品的缺陷。所以当时安全研究人员将bug细节公布在Full Disclosure成为引起厂商重视的仅有的几个途径之一。而现在,大多数的厂商都有自己的安全响应机制,并直接与研究人员定期沟通处理,同时有着丰富的现金奖励给那些挖掘安全问题的人员。

而且,随着社交网站的兴起,研究人员完全可以抛弃Full Disclosure采取另一条路线,比如简单的在Twitter上写一个链接或写一篇博客文章,就可以迅速传播开来。

“我知道许多人已经取消订阅Full Disclosure很长一段时间了,讨论与反馈也越来越低潮,渐渐地安全研究人员已经不再向传统的Full Disclosure投递他们最新发现,他们有自己的博客和twitter,更何况除此之外,每年都有数百个安全会议。我想我们或许会怀念Full Disclosure建立初期,但是我想说Full Disclosure的关闭就目前看对于我们这个行业并没有什么明显影响。我们有着各种共信息的途径。”Veracode安全研究的副总裁Chris Eng说。

Full Disclosure的关闭代表安防产业一个章节的终结,一个时代应有其告别的姿态。

“我们将永远停止服务,最后感谢一直以来各位的关注。”Cartwright最后写道。

[原文地址 译/FreeBuf小编pynwolf]

这些评论亮了

  • p0tt1 (6级) 黑客叔叔,RainRaid和SniFFeR.Pro团队负责人 回复
    看图 我以为nmap关了~ - -!
    )11( 亮了
发表评论

已有 12 条评论

取消
Loading...
css.php