涉及受信任的第n 个第三方。

虽然 JonRB 的方法可以奏效，但让其他受信任方（如国家或跨国 CERT）参与进来，可以加快流程并使其达到预期结果。

我们过去已经看到，大公司没有对其产品中的主要错误/漏洞的报告做出适当的反应。有问题的公司要么根本没有反应，要么没有尝试开发解决方案，要么有时问题只是迷失在了一个大公司的迷宫中。这最终导致研究人员自行发布漏洞以向供应商施压。

当您涉及另一个受信任的人（例如 CERT）时，您可以^相对确定受影响的公司会意识到事情的严重性并以一定的高度关注来处理问题。

但请确保您信任您计划参与的一方。如果所涉及的公司位于不同的国家/地区，则可能没有一个单一的实体对所有这些公司拥有权威。幸运的是，世界上大多数较大的 CERT 都一起工作并且（在某种程度上）有组织。

初始通讯

第一步是单独联系安全团队。让他们知道他们是更大图景的一部分，但您不想公开涉及的公司名单。在不命名公司的情况下尽可能详细地说明这一点很重要，这样您就不会因为过于含糊而被忽视。

在您的信息中明确表示，如果每家公司都尽其所能，这个问题将得到彻底解决，这一点也很重要。在这个阶段，可能还值得询问公司他们是否乐于在更详细的报告中被点名，以便他们可以更透明地相互合作。

收集回复

您现在必须等待每个团队的响应，并评估您得到多少“不会修复”的响应。如果公司愿意相互了解，您应该能够让安全团队可能愿意根据新信息重新确定优先级。否则，您可能必须为乐于被命名的公司制作报告的某些子集。

在您的任何消息中，您可以声明您已经能够使用其他不愿透露姓名的公司获得任何缺失步骤所需的信息。

在旁边

您可能还想查看供应商处理KRACK 攻击（例如）的方式，以了解过去如何处理与供应商无关的问题。