欢迎来到安全行业的难题，以及为什么做坏人比做好人更有利可图。

记住关于“被起诉”的这一点……任何人都可以起诉任何人——即使没有任何理由可以起诉。如果一个实体有钱起诉没有钱与之抗争的实体，它几乎会自动失败。在 50% 或更多的情况下，如果您因其中一些事情而被起诉，您还必须同时与州或联邦（或您所在国家的同等机构）刑事或监管当局作斗争。

这就是为什么不安全感将永远占据主导地位的原因，以及为什么我确信没有人想要解决任何问题。

在美国，如果您甚至无意中发现问题并将其报告给产品所有者，您可能会面临他们的民事（起诉）愤怒，您可能会面临 DMCA 和其他人。不经意间是什么意思？我可能正在调试我认为本地机器运行不稳定和反编译的问题，或者来自第 3 方的源代码（我发现问题所在）。现在请记住，他们正在给我的机器造成问题，我正在努力解决这个问题......一旦我找到它并报告它，我可能会在这个灰色区域。

我什至不是“黑客”本身。

因此，规则写得很糟糕而且很糟糕，无法真正允许公开披露。我认为这就是为什么希望发现漏洞和安全问题的组织创建了非常开放和明确的“漏洞赏金”计划，并采用非常“开放和服”的方法来做到这一点。

在没有这些的情况下，我所看到的工作是做很多研究人员所做的事情......建立匿名帐户，您可以将信息报告给组织，并且在它有很久之后才能获得它的功劳得到了照顾 - 我想除非你正在入侵 Facebook。似乎每个人都在面对 Facebook 积极公开地对其进行黑客攻击 :)。

如果企业承认已通过未经请求的渗透测试向他们报告了安全问题，那么他们实质上是在承认公开有不安全的系统。此外，未经请求的渗透测试是对他们系统的攻击，因此，虽然您可能是帮助他们保护系统和客户数据的闪亮盔甲的骑士，但您也违反了法律并据此考虑。

有些机构可以被告知站点上发现的问题，他们将在“负责任的披露”过程中通知站点/企业所有者。即通知问题所有者并为他们提供解决时间，如果没有解决，则在 3 个月后通知他们，如果没有回复/解决，则公开。

正如您所指出的，它或多或少是一个灰色区域。话虽如此，如果安全研究人员向供应商披露漏洞而没有造成问题、泄露机密信息等，供应商就没有动机起诉或对研究人员提起刑事指控——他们不希望研究人员向其披露吗？他们而不是发布或使用 0 天？

（在“Weev”中查找不太顺利的案例......）