是否公開發(fā)布安全漏洞（尤其是零日漏洞）的概念驗證（PoC）代碼歷來是備受爭議的話題。在代碼公開之后往往會被威脅攻擊者所利用，在數(shù)天乃至數(shù)小時內發(fā)起攻擊，導致終端用戶沒有充足的時間來修復受影響的系統(tǒng)。而公開這些PoC代碼的并非壞人或者其他獨立來源，而是理論上更應該保護用戶的白帽安全研究人員。

圍繞著這個爭議做法的話題已經(jīng)持續(xù)多年時間，而信息安全領域的專家分成兩派。其中一方認為安全研究人員不應該發(fā)布PoC代碼，因為攻擊者可以采用該代碼并自動化攻擊；而另一方認為PoC代碼同時是測試大型網(wǎng)絡和識別存在漏洞系統(tǒng)所必須的，允許IT部門成員模擬未來可能遭受到的攻擊。

在上個月發(fā)布的“ 網(wǎng)絡安全威脅觀2018年第四季度 ”報告中，Positive Technologies的安全專家再次觸及了這場長期爭論。

在這份報告中，Positive Technologies的安全專家并沒有給這個爭論下判斷，而是客觀陳述了當前用戶面臨的安全問題。在漏洞發(fā)現(xiàn)的新聞曝光或者零日漏洞的PoC代碼公開之后，在兩種情況下黑客并沒有為用戶提供充足的時間來修復系統(tǒng)。

在這份季度威脅報告中，Positive Technologies表示這種情況發(fā)生的頻率越來越多。在報告中通過羅列了一系列安全事件，表明在PoC代碼公開之后會立即被黑客所利用。例如在推特上有安全專家公開了 Windows 系統(tǒng)零日漏洞的PoC代碼，隨后ESET安全專家就觀測到了此類惡意軟件活動。例如在網(wǎng)絡上關于中文PHP框架的漏洞公開之后，數(shù)百萬網(wǎng)站立即遭到了攻擊。

在接受外媒ZDNet采訪時候，Positive Technologies的安全彈性負責人Leigh－Anne Galloway表示：“作為安全行業(yè)的一員，我們有責任倡導漏洞公示守則。但是并非所有人都遵循這個原則。同樣并非所有安全供應商都知道或者了解�！�

通常公開披露的驅動因素是因為供應商沒有認識到問題的嚴重性，也沒有解決漏洞�；蛘甙踩�研究人員可能已經(jīng)嘗試了所有其他途徑來傳達他們的發(fā)現(xiàn)。當然，危險的是犯罪分子可能使用此信息來攻擊受害者。供應商要求提供證據(jù)證明該漏洞實際存在于他們的產(chǎn)品中，并且當研究人員向他們報告漏洞時可以利用這些漏洞。研究人員需要證明它是如何被利用的，為此創(chuàng)建了PoC代碼。

通過CVSS系統(tǒng)來標記該漏洞的危險程度。如果供應商向研究人員支付漏洞獎勵框架內發(fā)現(xiàn)的漏洞，研究人員會從這項工作中賺錢，但供應商通常不會安排他們的bug－bounty計劃，研究人員可以從中得到的所有內容都是專家社區(qū)的公開認可。通過在互聯(lián)網(wǎng)上演示漏洞，展示操作和PoC代碼的一個例子，研究人員得到了認可和尊重。

通常情況下，研究人員只有在他們通知供應商有關漏洞的足夠長時間后才會發(fā)布漏洞利用代碼，從而使產(chǎn)品開發(fā)人員有機會關閉漏洞并通知用戶需要安裝升級。但是，很多時候，供應商會推遲發(fā)布補丁和更新，有時會延遲六個月以上，因此，在發(fā)布補丁之后，［PoC］漏洞的公示就會發(fā)生。