做或不做？　发现漏洞该不该公布？

网路保全公司应不应该在原厂未修补漏洞前公开入侵方式？周二eEye的案例，引发热烈争论。

一周前，eEye公司发现微软MS Windows NT有严重安全漏洞後，该公司不仅仅公布漏洞讯息，更推出两支示范程式，让人可利用此两支程式侵入NT网站。

eEye主张的论点是，该公司发现漏洞後，微软并未积极正式。该公司总裁Firas Bushnaq指出：“eEye是小公司，没有很大的影响力，这样做是唯一造成注意的方式。”但他也强调eEye很重视该漏洞被误用，他表示，能力普通的程式设计师，只要得到一般漏洞资讯，可以在两小时内写出同样的展示程式，亦即eEye并未透露更多的资讯，让有心者容易侵入NT网站。

关於上述论点，eEye网站上就明确指出『此展示程式曝露了漏洞的严重性，这是非常严重的漏洞，而它也值得被重视。如果本公司隐瞒此事实，我们就与一昧促销产品的软体公司无异。』

微软当然反对此态度，该公司保全经理Scott Culp就表示：“负责的保全公司，不会提供有心人具攻击性的工具。”

但是，网路安全专家Peter Shipley即指出，许多时候，在没有戏剧性变化刺激前，大厂并不会对此类漏洞讯息做出回应，结果是有心人可以侵入任何他们想要的系统。

专家Space Rogue也表示，过去的经验证实，包括微软在内的软体厂商，倾向把问题隐藏，既不警告也不修正，甚可长达一年之久，直到爆炸性事件发生。不过，他也认为，既然问题已被公开於BugTraq上，eEye的动作似乎过火了些。

奥勒岗助理教授Crispin Cowan也表示，eEye的动作可能匆忙了些。他认为，如果微软已进行弥补，且预定日期不远，则此动作确嫌过早，且微软的反应也可被解释成慎重。他强调，公开需在原厂毫无修订诚意下为之。不过，他仍较赞成公开。

ZDNN的读者对此亦有白热化的论战发生，John Leal表示：“入侵讯息永远不能被公布，这就像好友告诉别人你家卧室窗户不能锁，又教别人如何侵入。”而Larry Richard则强调，“微软根本没有尽到责任，他质疑为何在厂商发现漏洞後，未能妥善处理问题？未能警告用户？答案是不希望有人发现，也没有抱怨，更不用修改。”Patric Schmid则对此问题的道德两难做出总结：“知识是一切之母，但也有黑暗面：让坏人做更坏的事。可是你想怎样？宣告知识非法？”