阿伯塔·林恩是很想硬氣起來的,其實以往他都能很硬氣,甚至如果哪位安全專家發現了java想要拿到獎金的時候,基金會都能很硬氣。
比如跟寧為探討一下,如果想要獎金,那漏洞就不能以這種方式曝光;比如他很想告訴寧為要對他們這些開源工作者足夠的尊重,他們在全球有著數以百萬的客戶,有以千萬計算的程式設計師靠他們提供的免費程式生活……
但這些話終於還是活生生的忍住了。
原因其實很多,也許因為他真不知道寧為手上到底是否掌握了很多漏洞,他也無法確定寧為是否到底在借題發揮,他甚至不能確定寧為是不是想推出一款全新的計算機語言,所以先拿Java開刀。
對面那個年輕的學術大家以往的戰績太過輝煌,讓他沒法硬氣起來,在無語過後,也只能順著寧為的意思說了下去,畢竟如果能花點錢買平安的話,也許是最好的結果。
唯一的問題是,對面燕北大學教授似乎沒太聽懂他的意思,似乎是在討要這次Log4j2漏洞的獎金。
說真的,其他漏洞的獎金阿伯塔·林恩肯定願意給,只要寧為願意把漏洞提交給他們,他甚至可以不關注寧為提交的材料格式是否規範,但是這個漏洞……
“寧教授,捐款這個好說,但我希望能確定的是,您手上是否還有關於Java其他的漏洞……”
“怎麼?你們還想多給我們的寧班捐點款?放心吧,有肯定是有的。真的,我之前也沒想到Java的漏洞還是挺多的。如果你們真的肯無私的幫助我們華夏建設教育事業,我也可以再給你們提供一些。”寧為爽朗的說道。
這事一出寧為直接找上三月,自然是知道三月有蒐集幾乎現在所有主流計算機語言跟軟體的漏洞,其中也包括主流的作業系統。只是這事一直停留在讓三月進行蒐集,寧為還沒拿出來用過。
當時蒐集這些漏洞其實還是為了更好的推進三月智慧平臺,那個時候寧為想的其實很簡單,讓那些大企業加入到三月智慧平臺的籌建,他們給出現在三月最需要的資料,平臺這邊當然也要回報給這些企業等值的東西。
幫助這些企業找到深藏在程式碼中的漏洞,也是算是加入平臺的福利了,可誰知道寧為認為這是雙贏的局面,可人家都不太領情,於是這些東西三月是收集了,但都沒派上用場。
怎麼說呢,強人工智慧時代,所有人似乎都小看了強人工智慧的能力,這讓寧為也覺得很無奈。現在這種情況,大概就屬於廢料利用了。
以寧為現在的身份跟地位,自然不可能幹出拿著一堆的漏洞去牟利這種事情,也就是這次事情正好碰上了,不然寧為自己都快忘了還有這麼一茬兒。
寧為的話卻把阿伯塔·林恩徹底給整不會了。
基金會肯捐款就再多提供一些BUG的意思,在他的理解便是需要基金會先給燕北大學捐款,然後寧為再告訴他們java的一些bug。但這跟流程不符,一般的流程明明應該是,寧為先提交bug,然後由專業的安全人員對bug進行稽核,然後按照內部規定確定獎金的等級,然後再把錢打給bug的提供者。
這先捐錢……多少合適?
很想跟寧為說說規矩,但是想到對面似乎就不是個喜歡按條理出牌的大佬,而且隨手曝出的漏洞的確太過恐怖,阿伯塔·林恩又猶豫了。
審慎的思考了半晌後,阿伯塔·林恩終究還是決定妥協,說道:“我願意代表基金會向燕北大學捐款500萬美元,寧教授覺得如何?”
“五百萬美元?哦,懂了,你們的意思是,我要先給你們漏洞,然後你們才會決定捐多少款的對吧?這五百萬美元就是之前我給你們這個漏洞的獎金?對吧?那等會我再給你們發個漏洞詳細情況,你看看能捐多少,我心裡也好有個數?”寧為問了句。
阿伯塔·林恩無語了……他是真的沒想到寧為胃口能這麼大,感覺像是在被訛詐。但其實他是真的誤會了寧為,如果他跟一些行業內大佬多交流一下,就會知道現在他的許多同胞大佬找上寧為送錢的時候,開口就是以億為單位,到了他這裡張口五百萬,著實沒能提起寧為太大興趣。
說白了,這純粹是胃口被養叼了,又或者說對錢已經沒什麼概念了,阿伯塔·林恩的同胞們已經成功讓寧為產生了一種對岸大公司都極其富有的,說到給錢,那是一個比一個大方。
“不是,寧教授,您可能對漏洞獎金這塊有什麼誤解。實際上按照Password公佈的漏洞獎勵標準,一般來說0day的高危漏洞最高也就是20萬美元的獎金。以谷歌為例,去年全年穀歌在發現漏洞獎勵方面的投入也不過700萬美元,這已經很多了,微軟跟蘋果在漏洞獎金方面的花銷甚至還要少於谷歌。”
“Apache基金會作為一家為世界許多公司免費提供軟體使用的公司,其實在提供漏洞獎勵這塊更不可能有太多的資金投入。以Java為例,很多漏洞都是我們內部會員免費提供給我們的。這五百萬美元的捐款是希望您能將掌握的漏洞都能提前交給我們,讓我們能對Java進行更好更有針對性的最佳化,這也是我們希望對數以百萬計的會員負責。”
阿伯塔·林恩苦笑著解釋道。
寧為恍然大悟。
他是真從沒關心過所謂的漏洞獎金什麼的,畢竟他不靠這個發財,只是聽了阿伯塔·林恩的話,寧為感嘆道:“原來是這樣啊!難怪這些公司的產品推出那麼多年了,漏洞還那麼多,原來這些大公司在漏洞獎金這塊的支出這麼小氣啊?能給駭客帶來數以億計收入的漏洞,獎金最高才給到20萬美元?安全專家們找到了漏洞哪有動力去跟那些駭客一起研究這些啊。”
阿伯塔·林恩當然不會告訴寧為,大公司明面上給予的漏洞獎勵是一套,同時還有專門的人員在會盯著黑市上直接交易的漏洞。就算他想解釋,整個漏洞產業鏈也是非常複雜的,三言兩語又哪裡說得清楚?只能耐心的跟寧為科普道:“不不不,寧教授,您不能這麼說。畢竟找漏洞拿獎金是完全合法的,值得提倡。利用漏洞牟利放在任何一個法制健全的國家都是非法的,是要受到打擊的。這兩者真不能放到一起比較。”
寧為興趣缺缺的說道:“那行吧,五百萬就五百萬吧。回頭我會提供一個有問題的列表發到你們的官方郵箱,當然你們只捐了這麼點錢,我也就只能隨便截張圖給你們了,可能不全,也不會給你們再做演示了。就這樣吧,再見,林恩先生。對了,記得這五百萬是定向捐給寧班的,別搞錯了。”