甲骨文安全长发文说：不准抓我们的产品漏洞！

甲骨文（Oracle）安全长Mary Ann Davidson本周二（8/11）于官方部落格以长篇大论表达她对甲骨文产品安全性的看法（以上连结为archive.org存档，原文已被删），要求客户或第三方研究人员不该以逆向工程寻找甲骨文产品的漏洞，也不推崇科技产业时兴的抓漏奖励。此文一出，让外界议论纷纷，甲骨文则迅速在当天移除该篇文章。

Davidson认为，客户以逆向工程找出甲骨文产品的漏洞已经违反甲骨文的授权协议（EULA）。她说，甲骨文释出的产品都是执行格式，由于牵涉到知识产权的议题，与客户的授权协议禁止客户或客户所聘请的顾问团队针对甲骨文产品的执行程式进行逆向工程、反编译、反组合，或是任何其他把执行程式转成原始程式码的手段。

这是因为有许多客户会自行或委托顾问公司分析所使用产品的安全性，Davidson表示，当客户发现安全漏洞并提出服务请求时，若甲骨文发现该漏洞只有透过逆向工程才会曝光，甲骨文就会同时发信给客户及其顾问公司，提醒他们此一行为已侵犯彼此的授权协议，迄今她已写了很多信件要求客户不要再针对甲骨文的程式进行逆向工程。

Davidson还强调，甲骨文有能力分析该公司的产品程式码，这是他们的工作，也是他们的强项，不需要外界来分析，同时也不想浪费时间来研究第三方所提报的程式怪异之处。

就算客户找到的是真正的安全漏洞，也不能合法化他们使用逆向工程的侵权事实。Davidson形容，这就像是人们不应因为房子的门窗未锁就擅闯一样。虽然甲骨文仍会修补此一臭虫，但并不会因此归功于客户，因为甲骨文无法感谢客户违反授权协议。

Davidson对科技产业时兴的抓漏奖励（Bug Bounty）计划也不以为然，指出此一趋势只是在向外界昭告业者的程式并不安全。以甲骨文为例，他们自己找到了87%的安全漏洞，来自第三方安全研究人员的只占了3%，其他则是客户发现的。 Davidson说，她并非瞧不起抓漏奖励计划，而是认为花大把的钞票只为了解决3%的漏洞是不划算的，不如聘请一个负责开发抓漏工具的员工。

这篇文章引来许多的嘲讽，F-Secure资安研究长Mykko Hypponen在Twitter上转贴这篇文章，声称看来甲骨文真的很讨厌逆向工程与抓漏奖励。有分析师质疑，甲骨文如何能把矛头指向客户，有研究人员怀疑这篇文章的真实性，还有媒体评论Davidson简直就是在挑衅骇客。

至于甲骨文则在此篇文章下架后另外对外表示，产品及服务的安全性一直是该公司最重视的环节，除了提供产品安全保证计划之外，甲骨文亦与第三方研究人员及客户合作以确保甲骨文产品的安全性，文章被移除是因它并不符合甲骨文的想法或是甲骨文与客户之间的关系。（编译/陈晓莉）