甲骨文(Oracle)的首席安全官Mary Ann Davidson在其博客上发表了一篇颇具争议的博文,题为《不,这样不行(No,You Really Can't)》 。大致为批评使用甲骨文软件的三方安全机构和用户通过逆向工程,来寻找甲骨文软件中的未修复安全漏洞的行为,并称其有违其软件协议,如此方法生成的漏洞报告可靠性小且误报率高。
虽然这篇博文发布几小时后即被撤下,但通过“时光机”Internet Archive可以看到曾经发布的文章。甲骨文执行副总裁及首席架构师Edward Screven随后称“这篇博文不能代表我们对待客户和合作的理念”已经撤销。此博文当然也引起了许多三方安全厂商的不满。
在文章中,首席安全官Davidson称近来大量增加的递交给Oracle的静态分析安全报告,其中包含许多用户雇佣第三方安全顾问或安全软件(如 Veracode,Coverity),通过逆向工程来扫描其软件的错误及潜在安全漏洞,Davidson称这些测试相当没有必要,并且通常会指向根本不存在的漏洞或缺陷。
她写道“大部分通过这些工具产生的报告有近乎的错报率,尽量别浪费时间通过这些方法(逆向工程)来寻找漏洞”且有违背Oracle证书协议。
她补充道与其搜寻隐蔽的0-day漏洞,不如保持其使用的软件时时更新,打上安全补丁。
她更指出,Oracle并不会像微软或谷歌那样提供漏洞悬赏计划,这并不符合该的价值。
客服1 