漏洞报告不再特殊

2026 年 6 月 23 日 漏洞报告不再特殊作为开源维护者在公共场合工作时保持理智的一个要求是意识到每个问题、公关和反馈都是礼物，而不是义务。你可以接受它、忽略它、部分使用它或根本不使用它。除了……多年来，作为当时 Go Security 团队的领导者，1 我一直告诉新团队成员，它不适用于漏洞报告。不，漏洞报告很特殊。安全研究人员通过秘密报告事情而不是完全披露来帮我们一个忙，所以我们欠他们一些东西，而问题跟踪器上打开的常规问题则不然。 2 不同的项目有不同的政策，但总体期望是响应性和归因。我们应该迅速确认报告，进行调查，随时向记者通报情况，并最终将这一发现归功于他们。为什么？嗯，因为记者正在向我们提供一项服务，而不是要求我们提供一项服务（例如错误修复或功能实现）。作为响应能力和归因的交换，他们提供了宝贵的见解和保密性，我们需要在攻击者发布漏洞之前发布修复程序。 3 最终，这一切都源于我们对用户的责任。安全研究人员并不特别，重要的是洞察力和保密性，我们需要他们来保证用户的安全。忽略安全报告表明您不关心用户的安全，这确实是一个令人羞耻的理由。只不过……现在是 2026 年了，所有前提都不再正确了。法学硕士几乎与任何安全研究人员一样优秀，任何人 4 都可以运行它们。维护者可以运行它们。攻击者可以运行它们。洞察力不再稀缺和珍贵。现在的瓶颈不是发现潜在问题，而是评估哪些问题是真实的。除非已经存在信任关系，否则外部研究人员无法为该分类过程做出有意义的贡献，并且通过法学硕士的输出或通过 security@ 收件箱进行选择具有大致相同的信噪比。保密、禁运和协调也不再像以前那么重要了。攻击者不需要阅读完整的披露文章来了解该漏洞：他们可以询问自己的法学硕士，事实上，他们也可能有与防御者相同的分类瓶颈。漏洞报告的特殊时代可能已经结束，尽管感觉很奇怪和不舒服5。分类、快速补救以及一如既往的预防是现在的工作。我想我们都应该弄清楚如何在 CI 中运行 LLM 分析。欲了解更多信息，请订阅或关注我的 Bluesky @filippo.abyssdomain.expert 或 Mastodon @filippo@abyssdomain.expert 。图片 几周前，就像每年一样，我参加了 CENTOPASSI 比赛，这是一项 GPS 追踪摩托车比赛，涉及精心规划、100 个坐标和 1700 公里的二级公路，历时三天半。它总是带我去一些令人难以置信的地方，比如普利亚的这个废弃的铝土矿矿。我的工作是由 Geomys 实现的，Geomys 是一个由专业 Go 维护者组成的组织，由 Ava Labs、Teleport、Datadog、Tailscale 和 Sentry 资助。通过我们的聘用合同，他们确保了我们开源维护工作的可持续性和可靠性，并可以直接了解我和其他 Geomys 维护人员的专业知识。 （在 Geomys 公告中了解更多信息。）以下是其中一些人的几句话！ Teleport — 在过去的五年里，攻击和危害已经从传统的恶意软件和安全漏洞转向通过社会工程、凭据盗窃或网络钓鱼来识别和危害有效的用户帐户和凭据。 Teleport Identity 旨在通过访问监控消除弱访问模式，最大限度地减少访问请求的攻击面，并通过强制访问审查清除未使用的权限。 Ava Labs — Ava Labs 是 AvalancheGo（与 Avalanche 网络交互时使用最广泛的客户端）的维护者，我们相信开源加密协议的可持续维护和开发对于区块链技术的广泛采用至关重要。我们很自豪能够通过对 Filippo 及其团队的持续赞助来支持这项必要且有影响力的工作。当我离开 Google 时，我将这个角色交给了有能力的人，因此尽管仍然参与 Go 项目的维护，但这都不是 Go Security 团队的官方立场。 ↩ 在漏洞报告处理和行为准则执行的交汇处，这很快就会变得混乱。如果某个安全漏洞被同样违反 CoC 的人报告，您会怎么做？你忽略它吗？默默修复？事实上，没有办法化圆为方。归根结底是根据行为的严重程度、行为是否属于私人行为或是否影响社区以及团队成员所服务的可用资源来做出判断