科技之錘

332 N重誤解

阿伯塔·林恩是很想硬氣起來的,其實以往他都能很硬氣,甚至如果哪位安全專家發現了java想要拿到獎金的時候,基金會都能很硬氣。

比如跟寧為探討一下,如果想要獎金,那漏洞就不能以這種方式曝光;比如他很想告訴寧為要對他們這些開源工作者足夠的尊重,他們在全球有著數以百萬的客戶,有以千萬計算的程序員靠他們提供的免費程序生活……

但這些話終于還是活生生的忍住了。

原因其實很多,也許因為他真不知道寧為手上到底是否掌握了很多漏洞,他也無法確定寧為是否到底在借題發揮,他甚至不能確定寧為是不是想推出一款全新的計算機語言,所以先拿Java開刀。

對面那個年輕的學術大家以往的戰績太過輝煌,讓他沒法硬氣起來,在無語過后,也只能順著寧為的意思說了下去,畢竟如果能花點錢買平安的話,也許是最好的結果。

唯一的問題是,對面燕北大學教授似乎沒太聽懂他的意思,似乎是在討要這次Log4j2漏洞的獎金。

說真的,其他漏洞的獎金阿伯塔·林恩肯定愿意給,只要寧為愿意把漏洞提交給他們,他甚至可以不關注寧為提交的材料格式是否規范,但是這個漏洞……

“寧教授,捐款這個好說,但我希望能確定的是,您手上是否還有關于Java其他的漏洞……”

“怎么?你們還想多給我們的寧班捐點款?放心吧,有肯定是有的。真的,我之前也沒想到Java的漏洞還是挺多的。如果你們真的肯無私的幫助我們華夏建設教育事業,我也可以再給你們提供一些。”寧為爽朗的說道。

這事一出寧為直接找上三月,自然是知道三月有搜集幾乎現在所有主流計算機語言跟軟件的漏洞,其中也包括主流的操作系統。只是這事一直停留在讓三月進行搜集,寧為還沒拿出來用過。

當時搜集這些漏洞其實還是為了更好的推進三月智能平臺,那個時候寧為想的其實很簡單,讓那些大企業加入到三月智能平臺的籌建,他們給出現在三月最需要的數據,平臺這邊當然也要回報給這些企業等值的東西。

幫助這些企業找到深藏在代碼中的漏洞,也是算是加入平臺的福利了,可誰知道寧為認為這是雙贏的局面,可人家都不太領情,于是這些東西三月是收集了,但都沒派上用場。

怎么說呢,強人工智能時代,所有人似乎都小看了強人工智能的能力,這讓寧為也覺得很無奈。現在這種情況,大概就屬于廢料利用了。

以寧為現在的身份跟地位,自然不可能干出拿著一堆的漏洞去牟利這種事情,也就是這次事情正好碰上了,不然寧為自己都快忘了還有這么一茬兒。

寧為的話卻把阿伯塔·林恩徹底給整不會了。

基金會肯捐款就再多提供一些BUG的意思,在他的理解便是需要基金會先給燕北大學捐款,然后寧為再告訴他們java的一些bug。但這跟流程不符,一般的流程明明應該是,寧為先提交bug,然后由專業的安全人員對bug進行審核,然后按照內部規定確定獎金的等級,然后再把錢打給bug的提供者。

這先捐錢……多少合適?

很想跟寧為說說規矩,但是想到對面似乎就不是個喜歡按條理出牌的大佬,而且隨手曝出的漏洞的確太過恐怖,阿伯塔·林恩又猶豫了。

審慎的思考了半晌后,阿伯塔·林恩終究還是決定妥協,說道:“我愿意代表基金會向燕北大學捐款500萬美元,寧教授覺得如何?”

“五百萬美元?哦,懂了,你們的意思是,我要先給你們漏洞,然后你們才會決定捐多少款的對吧?這五百萬美元就是之前我給你們這個漏洞的獎金?對吧?那等會我再給你們發個漏洞詳細情況,你看看能捐多少,我心里也好有個數?”寧為問了句。

阿伯塔·林恩無語了……他是真的沒想到寧為胃口能這么大,感覺像是在被訛詐。但其實他是真的誤會了寧為,如果他跟一些行業內大佬多交流一下,就會知道現在他的許多同胞大佬找上寧為送錢的時候,開口就是以億為單位,到了他這里張口五百萬,著實沒能提起寧為太大興趣。

說白了,這純粹是胃口被養叼了,又或者說對錢已經沒什么概念了,阿伯塔·林恩的同胞們已經成功讓寧為產生了一種對岸大公司都極其富有的,說到給錢,那是一個比一個大方。

“不是,寧教授,您可能對漏洞獎金這塊有什么誤解。實際上按照Password公布的漏洞獎勵標準,一般來說0day的高危漏洞最高也就是20萬美元的獎金。以谷歌為例,去年全年谷歌在發現漏洞獎勵方面的投入也不過700萬美元,這已經很多了,微軟跟蘋果在漏洞獎金方面的花銷甚至還要少于谷歌。”

“Apache基金會作為一家為世界許多公司免費提供軟件使用的公司,其實在提供漏洞獎勵這塊更不可能有太多的資金投入。以Java為例,很多漏洞都是我們內部會員免費提供給我們的。這五百萬美元的捐款是希望您能將掌握的漏洞都能提前交給我們,讓我們能對Java進行更好更有針對性的優化,這也是我們希望對數以百萬計的會員負責。”

阿伯塔·林恩苦笑著解釋道。

寧為恍然大悟。

他是真從沒關心過所謂的漏洞獎金什么的,畢竟他不靠這個發財,只是聽了阿伯塔·林恩的話,寧為感嘆道:“原來是這樣啊!難怪這些公司的產品推出那么多年了,漏洞還那么多,原來這些大公司在漏洞獎金這塊的支出這么小氣啊?能給黑客帶來數以億計收入的漏洞,獎金最高才給到20萬美元?安全專家們找到了漏洞哪有動力去跟那些黑客一起研究這些啊。”

阿伯塔·林恩當然不會告訴寧為,大公司明面上給予的漏洞獎勵是一套,同時還有專門的人員在會盯著黑市上直接交易的漏洞。就算他想解釋,整個漏洞產業鏈也是非常復雜的,三言兩語又哪里說得清楚?只能耐心的跟寧為科普道:“不不不,寧教授,您不能這么說。畢竟找漏洞拿獎金是完全合法的,值得提倡。利用漏洞牟利放在任何一個法制健全的國家都是非法的,是要受到打擊的。這兩者真不能放到一起比較。”

寧為興趣缺缺的說道:“那行吧,五百萬就五百萬吧。回頭我會提供一個有問題的列表發到你們的官方郵箱,當然你們只捐了這么點錢,我也就只能隨便截張圖給你們了,可能不全,也不會給你們再做演示了。就這樣吧,再見,林恩先生。對了,記得這五百萬是定向捐給寧班的,別搞錯了。”

雖然說市場行情就是這樣,但寧為還是覺得索然無味。就好像雞肋,棄之可惜。不過五百萬美元也是好幾千萬人民幣了,用來給寧班發發福利其實也還行。

但想到其他大富豪一般給學校捐款都是上億上億的捐出去,他這要點捐款才五百萬美元,的確還是有心理落差的。

“等等,要不一千萬美元?真的,寧教授,這是我們在修補漏洞這塊好幾年的預算,都準備拿出來為未來寧班的建設出點力,這……應該差不多了吧?但有一點,以后如果您的團隊又發現了其他漏洞,能否按照流程先提交給我們Apache基金會,由官方決定什么時候對外發布?”

“那如果你們一直不更新補上漏洞豈不是漏洞會一直存在?”

“這其實可以定一個給官方反應的日期,比如一個月。如果我們在確認收到您發的漏洞信息之后一個月還沒有針對漏洞發布更新補丁,您就可以將這些漏洞提交給其他網絡安全公司。”

“那……行吧!一個月的時間雖然長了點,但事情還是要做完美些好。這樣,你們把這筆錢捐給寧班之后,我會把我們團隊掌握的一些漏洞發到官方的郵箱。”

“您放心,我們馬上就會聯系燕北大學那邊了解捐款渠道,這一千萬今天應該就能特批下來,但不能確定什么時候到指定的捐款賬戶上。您知道的,大筆轉賬需要些審核的時間。不過我們可以在官網同步宣布這個消息,保證這筆錢能到位的。”

“行吧,那我等會給你們發一份清單過去。就這樣吧,我先掛了。”

聽到清單兩個字,阿伯塔·林恩忍不住抖了抖眉毛,突然覺得這一千萬美元花得大概值了。

“好的,再見,寧教授。”

“再見,林恩先生。”

不太讓人愉悅的一通電話之后,寧為讓三月再次調出了Java的漏洞庫列表,看了整整五頁的內容,干脆讓三月按危險度比例挑選了列表中一半的漏洞詳情,發給了Apache官方提供的郵箱。

這個數字是很恰當的,完全按照阿伯塔·林恩剛才說的價格來的,起碼在寧為看來對得起對方捐贈的那一千萬美元了。要找出并整理這些漏洞,還是消耗了三月不少算力的,大家又并非朋友,他當然不可能給基金會做義務工。

等值交換就挺好,誰也不占誰便宜。

但即便如此,當對面接收到郵件的時候,一幫技術人員都愣住了。

這是在開玩笑嘛?

列表里竟然有13個還沒發現的高危漏洞?21個中危漏洞以及49個低危漏洞?

低危漏洞暫且不談,影響不是很大,但這30多個中、高危漏洞真的把所有人都嚇出了一身冷汗。

其實任何軟件都有漏洞,但是一次性拿到如此多漏洞卻是所有人都沒有過的體驗,這次寧為可沒有專門做演示如何利用這些漏洞,只有三月給出的簡單描述。

在受到驚嚇之后,技術人員們很快開始測試并確定了這30多個中、高危漏洞的確存在。就這樣寧為提供的漏洞列表跟測試結果很快擺在了阿伯塔·林恩的案頭。

看過之后這位Apache基金會的負責人也是一身冷汗,然后長出了一口氣。怎么說呢,阿伯塔·林恩本以為寧為能在給出三、五個高危漏洞已經是他所能承受的極限了,給出一千萬的捐款,其實更多的是想著結個善緣。

對于使用極為廣泛的軟件來說,漏洞這東西是無法杜絕的。

也許就因為一次封堵漏洞的更新,可能又會出現新的漏洞。

多花點錢,讓寧為以后能按照約定俗成的規矩來,對于他們來說也算是賺了。

誰敢想寧為竟然真的掌握了如此多的漏洞資料?想到寧為在微博上說,不介意讓Java程序員們忙上一整年這好像還真不是吹牛……

所以理論上來說,這一千萬美元捐得的確挺值的。想到這里,阿伯塔·林恩也不敢在怠慢,立刻開始打電話指揮個部門按照剛才跟寧為的口頭協議開始動了起來。

這錢肯定是要捐的,好感是必須要刷的。

這么多漏洞如果真的同時在外界曝光,結合剛剛log4j2造成的影響,能讓無數人直接崩潰掉,甚至對Java的整體安全性產生質疑,一旦有了這種刻板印象,那才是最大的打擊。

雖然短時間內,大家可能還不得不硬著頭皮繼續使用Java環境,因為很多項目有其延續性,但未來就說不好了。如果失去了大批客戶的青睞,Java也不是不可替代的,或者說這個時代沒有哪種計算機語言是不可替代的。

然而等阿伯塔·林恩忙完這一切,看到官網上也掛上了將向燕北大學寧班捐款的消息,長出了一口氣的同時又突然愣住了。

因為他突然想到了跟寧為最后一個約定。

是的,兩人約定了在寧為將這些漏洞提供給了他們之后,只會保持沉默一個月。如果一個月之后,官方沒能把這些漏洞封堵上,寧為還是會像之前一樣,將這些漏洞公布給那些網絡安全公司跟各大服務器提供商?

真的,不是阿伯塔·伯恩小看官方那些負責解決漏洞的程序員們。如果只有三、五個漏洞,一個月的時間大概夠了。但如果是幾十個遍及不同位置的漏洞,這一個月的時間真的夠嗎?

要知道每次對外發布公告以及更新之前,還需要經過嚴謹的內部測試,起碼得確保為了彌補漏洞而做的更新不會搞出更大的漏洞來吧?

調bug對任何程序員來說都不是件簡單的事情,許多時候甚至牽一發而動全身。bug越調越多可不是什么玩笑話,這一點游戲玩家大概都有過體驗,眼看著有些越更新越大,BUG還越多,觀感當真是一言難盡。

其實任何程序都是如此,許多在程序設計初期就測試出的BUG還好說,還能退一步海闊天空。但是像已經有巨大影響力的軟件,要一次性解決這么多BUG,只能靠修補的辦法,那就真不好說了。

這還是軟件漏洞相對比較好處理的情況,像那些做硬件的,比如英特爾,一個CPU漏洞傳幾代的情況都是有的……

所以三、五個大漏洞,一個月的時間緊一緊,多拿點獎勵出去,說不得也勉強夠了,但幾十個BUG要修補,一個月時間就真的是在開玩笑了。

想到這個問題,阿伯塔·林恩是真的木了。目光不自覺地落到了手機上……

臉頓時苦了,不行,他還得給寧為打個電話,當想到剛才的通話,對面那個難搞的態度,阿伯塔·林恩有些后悔剛才做的那么積極了。但沒辦法,他真的怕寧為很認真的履行約定……

唯一的好處是,這次不用等大佬幫他牽線了,自己的號碼應該已經在寧為的通訊錄里了吧?

“喂,寧為教授,真不好意思,沒有打擾到您吧?”

“其實是打擾了,林恩先生,您可能不知道,我有飯后跟愛人在湖邊散步的習慣。現在距離我們剛才通話已經過去了兩小時,我剛剛吃完飯正在跟我喜歡的女孩散步,剛剛還在跟她說著笑話來著,你這個電話把我思路都打斷了……”

“哈哈,寧教授,您可真會開玩笑。”

“呵呵……”

“是這樣的,寧教授,剛才我們收到你發來的漏洞列表了,真的非常感謝您對我們工作的支持。但是一次性處理這么多BUG,對我們來說是個極大的挑戰。所以我想,一個月時間可能不夠……”

“你們都已經知道了問題在哪兒了,一個月的時間怎么可能不夠?”

“這個……”

“真的,林恩先生,你們這效率太低了。如果你對你們技術部門沒有信心的話,我的團隊到是可以幫你們做個顧問,一個月時間肯定能把這些BUG解決掉。”

“啊?這個,可以嗎?”

“當然可以的。不過還是那句話,我們寧班現在百廢待興……”

“不用說了,寧教授,我決定代表基金會再向寧班捐贈一千萬美元,以表達基金會對華夏高校教育的支持。希望這筆錢能培養出更多的計算機人才,推動世界計算機語言的發展。”

“我代表寧班感謝你的慷慨,林恩先生。嗯,回頭我會將解決問題的思路還是通過郵件發送給你們的。”

“謝謝了,寧教授!”

“不客氣,再見!”

請記住本書域名:。書趣閣_筆趣閣手機版閱讀網址: