欧盟花668万开展的开源软件漏洞赏金计划被指本末倒置
早些时候欧盟宣布将为15款知名开源软件发起漏洞赏金猎人计划,让外部安全专家寻找软件存在的安全漏洞。
欧盟委员会发起这项计划的主要原因在于该委员会使用这类软件,寻找漏洞并修复有助于欧盟更安全的使用。
当然既然是开源软件提高安全性后对我们这些普通用户来说也是个不错的消息,可以更放心的使用这些软件。
但安全专家认为欧盟本末倒置:
该计划公布后虽然支持者众多但也有很重要的反对声音,有安全专家认为欧盟的这种做法其实已经本末倒置。
因为很多开源软件维护者当前已经有很长的待修复列表,这些漏洞排期都已经很满根本没时间再安排新修复。
现在欧盟花费几百万发起赏金猎人计划势必会发现更多漏洞,然后继续增加维护者的工作量且不会立即修复。
诚然发现漏洞很重要但发现漏洞后能够及时修复更重要,增加的工作量意味着需要更多维护者参与软件维护。
欧盟应该援助开源软件项目:
安全专家认为欧盟不应该火急火燎的发动赏金猎人计划,应该先了解开源软件维护者的想法然后再制定计划。
同时欧盟也应该援助开源软件维护者以便尽早将待修复漏洞处理掉,这样维护者们才有时间修复新的漏洞等。
另外当前发动赏金猎人计划可能会让潜在的漏洞被发现,然后在没时间修复的情况下漏洞也可能会遭到利用。