甲骨文(Oracle)安全長Mary Ann Davidson本周二(8/11)於官方部落格以長篇大論表達她對甲骨文產品安全性的看法(以上連結為archive.org存檔,原文已被刪),要求客戶或第三方研究人員不該以逆向工程尋找甲骨文產品的漏洞,也不推崇科技產業時興的抓漏獎勵。此文一出,讓外界議論紛紛,甲骨文則迅速在當天移除該篇文章。
Davidson認為,客戶以逆向工程找出甲骨文產品的漏洞已經違反甲骨文的授權協議(EULA)。她說,甲骨文釋出的產品都是執行格式,由於牽涉到智慧財產權的議題,與客戶的授權協議禁止客戶或客戶所聘請的顧問團隊針對甲骨文產品的執行程式進行逆向工程、反編譯、反組合,或是任何其他把執行程式轉成原始程式碼的手段。
這是因為有許多客戶會自行或委託顧問公司分析所使用產品的安全性,Davidson表示,當客戶發現安全漏洞並提出服務請求時,若甲骨文發現該漏洞只有透過逆向工程才會曝光,甲骨文就會同時發信給客戶及其顧問公司,提醒他們此一行為已侵犯彼此的授權協議,迄今她已寫了很多信件要求客戶不要再針對甲骨文的程式進行逆向工程。
Davidson還強調,甲骨文有能力分析該公司的產品程式碼,這是他們的工作,也是他們的強項,不需要外界來分析,同時也不想浪費時間來研究第三方所提報的程式怪異之處。
就算客戶找到的是真正的安全漏洞,也不能合法化他們使用逆向工程的侵權事實。Davidson形容,這就像是人們不應因為房子的門窗未鎖就擅闖一樣。雖然甲骨文仍會修補此一臭蟲,但並不會因此歸功於客戶,因為甲骨文無法感謝客戶違反授權協議。
Davidson對科技產業時興的抓漏獎勵(Bug Bounty)計畫也不以為然,指出此一趨勢只是在向外界昭告業者的程式並不安全。以甲骨文為例,他們自己找到了87%的安全漏洞,來自第三方安全研究人員的只佔了3%,其他則是客戶發現的。 Davidson說,她並非瞧不起抓漏獎勵計畫,而是認為花大把的鈔票只為了解決3%的漏洞是不划算的,不如聘請一個負責開發抓漏工具的員工。
這篇文章引來許多的嘲諷,F-Secure資安研究長Mykko Hypponen在Twitter上轉貼這篇文章,聲稱看來甲骨文真的很討厭逆向工程與抓漏獎勵。有分析師質疑,甲骨文如何能把矛頭指向客戶,有研究人員懷疑這篇文章的真實性,還有媒體評論Davidson簡直就是在挑釁駭客。
至於甲骨文則在此篇文章下架後另外對外表示,產品及服務的安全性一直是該公司最重視的環節,除了提供產品安全保證計畫之外,甲骨文亦與第三方研究人員及客戶合作以確保甲骨文產品的安全性,文章被移除是因它並不符合甲骨文的想法或是甲骨文與客戶之間的關係。(編譯/陳曉莉)