安全人士谈论软件漏洞是自我炒作

mimisky

据外电报道，Linux操作系统创始人林纳斯·托瓦尔兹(Linus Torvalds)近日表示，自己对所谓“安全界人士”大肆宣传各种软件漏洞的做法“简直是受够了”。他认为，这些安全人士每每公开谈论软件漏洞，无非是想借机自我炒作，其实对软件产业的良性发展毫无益处。

　　托瓦尔兹近日在发给NetworkWorld网站的一封电子邮件中作出了以上表述。他表示，自己上月期间曾发表过一则有关安全人士的评论，随后在IT 产业引起了激烈争论。托瓦尔兹上月称，自己之所以不愿意与所谓的“安全界人士”打交道，原因之一就是觉得整个安全界人士都在抬高自己；如果软件开发者对一些很平常的漏洞不及时加以修补，安全人士就会指责软件开发人员无能。

　　托尔瓦兹本周的电子邮件中称，一般说来，安全界人士可划分为两个阵营：一部分人是在漏洞得到修补之前不会披露漏洞技术详情；另一部分人则是迫不急待地发布软件漏洞技术详情，并以此来证明软件开发商如何无能(他还认为，多数商用软件开发商确实也很无能)。但无论如何，托尔瓦兹对这两个阵营的安全研究人员都没有好感。

　　托尔瓦兹说：“这两个阵营都有着自己的利益出发点，他们之间也互相掐来掐去，目的就是给自己大造声势。”他觉得，对于软件漏洞，安全界人士大可不必对外大肆宣扬，只要通知软件开发商修补漏洞即可，“虽然有的软件销售商称，希望安全人士在发布漏洞补丁后再公布漏洞详情。但修补漏洞才是最终目的，而一些安全人士却把公布漏洞技术详情当作了终极目标。”

　　托尔瓦兹最后表示，Linux内核安全是开发者的“私事”，安全界人士不必对Linux软件漏洞大肆炒作，以逼迫相应开发人员赶快发布相应漏洞补丁。在日常生活中，托瓦尔兹以语言犀利、却又充满调侃意味而著称，并经常在不同场合与微软“对着干”。