安全廠商WSLab推出漏洞拍賣平臺

安全廠商WSLab推出漏洞拍賣平臺[@more@]來自：IThome

一家位於瑞士的安全業者WSLabi在上週發表了一個漏洞拍賣平臺，提供研究人員一個入口網站，讓研究人員、安全銷售業者及軟體公司可以透過公開的平臺進行互動。

WSLabi宣稱自己是一箇中立的獨立實驗室，WSLabi執行長Herman Zampariolo表示，WSLabi網站的設立可讓安全研究人員對於自己的發現可以獲得一個合理的價格，並確保這些研究人員的心血不會被迫免費提供給業者或是賣給駭客。

因此，WSLabi表示該公司將會篩選買家及賣家的身份，以保護漏洞來源及出售物件的合法性，但為了顧及彼此的隱私，在網站上一律以暱稱交易；一旦研究人員將自己的發現張貼在交易網站上，實驗室就會進行分析及實驗，並提供該漏洞的概念性驗證程式供買家競標。

賣家可以透過三種方式在平臺上銷售這些漏洞，包括設立底價進行拍賣、提供固定價格供不同買家購買，或是獨家銷售給一家業者。

WSLabi表示，透過不同的交易模式可最大化研究人員的發現，例如一個原本以300～1000美元獨家銷售給特定業者的漏洞，在該平臺可得到10～20倍的回饋。

Herman Zampariolo指出，去年研究人員約分析了7000個公開漏洞，不過，每年平均發現的新漏洞約有13.9萬個。

WSLabi策略總監Roberto Preatoni表示，現在已經有3個重要漏洞待售，分別是與Linux、Yahoo! Messenger及SquirrelMail相關的漏洞，在該站平臺公開競標得以讓研究人員確信他們的發現可得到適當的價值。

關於漏洞的標售時有所聞，但這卻是首次出現公開的競標平臺，即使WSLabi表示他們只會將這些漏洞詳細資訊賣給合法買家，但仍有安全業者擔心這些漏洞資訊仍有可能落入駭客手中。