科技之錘 332 N重誤解

阿伯塔·林恩是很想硬氣起來的，其實(shí)以往他都能很硬氣，甚至如果哪位安全專家發(fā)現(xiàn)了java想要拿到獎(jiǎng)金的時(shí)候，基金會(huì)都能很硬氣。

比如跟寧為探討一下，如果想要獎(jiǎng)金，那漏洞就不能以這種方式曝光；比如他很想告訴寧為要對他們這些開源工作者足夠的尊重，他們在全球有著數(shù)以百萬的客戶，有以千萬計(jì)算的程序員靠他們提供的免費(fèi)程序生活……

但這些話終于還是活生生的忍住了。

原因其實(shí)很多，也許因?yàn)樗娌恢缹帪槭稚系降资欠裾莆樟撕芏嗦┒矗矡o法確定寧為是否到底在借題發(fā)揮，他甚至不能確定寧為是不是想推出一款全新的計(jì)算機(jī)語言，所以先拿Java開刀。

對面那個(gè)年輕的學(xué)術(shù)大家以往的戰(zhàn)績太過輝煌，讓他沒法硬氣起來，在無語過后，也只能順著寧為的意思說了下去，畢竟如果能花點(diǎn)錢買平安的話，也許是最好的結(jié)果。

唯一的問題是，對面燕北大學(xué)教授似乎沒太聽懂他的意思，似乎是在討要這次Log4j2漏洞的獎(jiǎng)金。

說真的，其他漏洞的獎(jiǎng)金阿伯塔·林恩肯定愿意給，只要寧為愿意把漏洞提交給他們，他甚至可以不關(guān)注寧為提交的材料格式是否規(guī)范，但是這個(gè)漏洞……

“寧教授，捐款這個(gè)好說，但我希望能確定的是，您手上是否還有關(guān)于Java其他的漏洞……”

“怎么？你們還想多給我們的寧班捐點(diǎn)款？放心吧，有肯定是有的。真的，我之前也沒想到Java的漏洞還是挺多的。如果你們真的肯無私的幫助我們?nèi)A夏建設(shè)教育事業(yè)，我也可以再給你們提供一些。”寧為爽朗的說道。

這事一出寧為直接找上三月，自然是知道三月有搜集幾乎現(xiàn)在所有主流計(jì)算機(jī)語言跟軟件的漏洞，其中也包括主流的操作系統(tǒng)。只是這事一直停留在讓三月進(jìn)行搜集，寧為還沒拿出來用過。

當(dāng)時(shí)搜集這些漏洞其實(shí)還是為了更好的推進(jìn)三月智能平臺(tái)，那個(gè)時(shí)候?qū)帪橄氲钠鋵?shí)很簡單，讓那些大企業(yè)加入到三月智能平臺(tái)的籌建，他們給出現(xiàn)在三月最需要的數(shù)據(jù)，平臺(tái)這邊當(dāng)然也要回報(bào)給這些企業(yè)等值的東西。

幫助這些企業(yè)找到深藏在代碼中的漏洞，也是算是加入平臺(tái)的福利了，可誰知道寧為認(rèn)為這是雙贏的局面，可人家都不太領(lǐng)情，于是這些東西三月是收集了，但都沒派上用場。

怎么說呢，強(qiáng)人工智能時(shí)代，所有人似乎都小看了強(qiáng)人工智能的能力，這讓寧為也覺得很無奈。現(xiàn)在這種情況，大概就屬于廢料利用了。

以寧為現(xiàn)在的身份跟地位，自然不可能干出拿著一堆的漏洞去牟利這種事情，也就是這次事情正好碰上了，不然寧為自己都快忘了還有這么一茬兒。

寧為的話卻把阿伯塔·林恩徹底給整不會(huì)了。

基金會(huì)肯捐款就再多提供一些BUG的意思，在他的理解便是需要基金會(huì)先給燕北大學(xué)捐款，然后寧為再告訴他們java的一些bug。但這跟流程不符，一般的流程明明應(yīng)該是，寧為先提交bug，然后由專業(yè)的安全人員對bug進(jìn)行審核，然后按照內(nèi)部規(guī)定確定獎(jiǎng)金的等級，然后再把錢打給bug的提供者。

這先捐錢……多少合適？

很想跟寧為說說規(guī)矩，但是想到對面似乎就不是個(gè)喜歡按條理出牌的大佬，而且隨手曝出的漏洞的確太過恐怖，阿伯塔·林恩又猶豫了。

審慎的思考了半晌后，阿伯塔·林恩終究還是決定妥協(xié)，說道：“我愿意代表基金會(huì)向燕北大學(xué)捐款500萬美元，寧教授覺得如何？”

“五百萬美元？哦，懂了，你們的意思是，我要先給你們漏洞，然后你們才會(huì)決定捐多少款的對吧？這五百萬美元就是之前我給你們這個(gè)漏洞的獎(jiǎng)金？對吧？那等會(huì)我再給你們發(fā)個(gè)漏洞詳細(xì)情況，你看看能捐多少，我心里也好有個(gè)數(shù)？”寧為問了句。

阿伯塔·林恩無語了……他是真的沒想到寧為胃口能這么大，感覺像是在被訛詐。但其實(shí)他是真的誤會(huì)了寧為，如果他跟一些行業(yè)內(nèi)大佬多交流一下，就會(huì)知道現(xiàn)在他的許多同胞大佬找上寧為送錢的時(shí)候，開口就是以億為單位，到了他這里張口五百萬，著實(shí)沒能提起寧為太大興趣。

說白了，這純粹是胃口被養(yǎng)叼了，又或者說對錢已經(jīng)沒什么概念了，阿伯塔·林恩的同胞們已經(jīng)成功讓寧為產(chǎn)生了一種對岸大公司都極其富有的，說到給錢，那是一個(gè)比一個(gè)大方。

“不是，寧教授，您可能對漏洞獎(jiǎng)金這塊有什么誤解。實(shí)際上按照Password公布的漏洞獎(jiǎng)勵(lì)標(biāo)準(zhǔn)，一般來說0day的高危漏洞最高也就是20萬美元的獎(jiǎng)金。以谷歌為例，去年全年谷歌在發(fā)現(xiàn)漏洞獎(jiǎng)勵(lì)方面的投入也不過700萬美元，這已經(jīng)很多了，微軟跟蘋果在漏洞獎(jiǎng)金方面的花銷甚至還要少于谷歌。”

“Apache基金會(huì)作為一家為世界許多公司免費(fèi)提供軟件使用的公司，其實(shí)在提供漏洞獎(jiǎng)勵(lì)這塊更不可能有太多的資金投入。以Java為例，很多漏洞都是我們內(nèi)部會(huì)員免費(fèi)提供給我們的。這五百萬美元的捐款是希望您能將掌握的漏洞都能提前交給我們，讓我們能對Java進(jìn)行更好更有針對性的優(yōu)化，這也是我們希望對數(shù)以百萬計(jì)的會(huì)員負(fù)責(zé)。”

阿伯塔·林恩苦笑著解釋道。

寧為恍然大悟。

他是真從沒關(guān)心過所謂的漏洞獎(jiǎng)金什么的，畢竟他不靠這個(gè)發(fā)財(cái)，只是聽了阿伯塔·林恩的話，寧為感嘆道：“原來是這樣啊！難怪這些公司的產(chǎn)品推出那么多年了，漏洞還那么多，原來這些大公司在漏洞獎(jiǎng)金這塊的支出這么小氣啊？能給黑客帶來數(shù)以億計(jì)收入的漏洞，獎(jiǎng)金最高才給到20萬美元？安全專家們找到了漏洞哪有動(dòng)力去跟那些黑客一起研究這些啊。”

阿伯塔·林恩當(dāng)然不會(huì)告訴寧為，大公司明面上給予的漏洞獎(jiǎng)勵(lì)是一套，同時(shí)還有專門的人員在會(huì)盯著黑市上直接交易的漏洞。就算他想解釋，整個(gè)漏洞產(chǎn)業(yè)鏈也是非常復(fù)雜的，三言兩語又哪里說得清楚？只能耐心的跟寧為科普道：“不不不，寧教授，您不能這么說。畢竟找漏洞拿獎(jiǎng)金是完全合法的，值得提倡。利用漏洞牟利放在任何一個(gè)法制健全的國家都是非法的，是要受到打擊的。這兩者真不能放到一起比較。”

寧為興趣缺缺的說道：“那行吧，五百萬就五百萬吧。回頭我會(huì)提供一個(gè)有問題的列表發(fā)到你們的官方郵箱，當(dāng)然你們只捐了這么點(diǎn)錢，我也就只能隨便截張圖給你們了，可能不全，也不會(huì)給你們再做演示了。就這樣吧，再見，林恩先生。對了，記得這五百萬是定向捐給寧班的，別搞錯(cuò)了。”

雖然說市場行情就是這樣，但寧為還是覺得索然無味。就好像雞肋，棄之可惜。不過五百萬美元也是好幾千萬人民幣了，用來給寧班發(fā)發(fā)福利其實(shí)也還行。

但想到其他大富豪一般給學(xué)校捐款都是上億上億的捐出去，他這要點(diǎn)捐款才五百萬美元，的確還是有心理落差的。

“等等，要不一千萬美元？真的，寧教授，這是我們在修補(bǔ)漏洞這塊好幾年的預(yù)算，都準(zhǔn)備拿出來為未來寧班的建設(shè)出點(diǎn)力，這……應(yīng)該差不多了吧？但有一點(diǎn)，以后如果您的團(tuán)隊(duì)又發(fā)現(xiàn)了其他漏洞，能否按照流程先提交給我們Apache基金會(huì)，由官方?jīng)Q定什么時(shí)候?qū)ν獍l(fā)布？”

“那如果你們一直不更新補(bǔ)上漏洞豈不是漏洞會(huì)一直存在？”

“這其實(shí)可以定一個(gè)給官方反應(yīng)的日期，比如一個(gè)月。如果我們在確認(rèn)收到您發(fā)的漏洞信息之后一個(gè)月還沒有針對漏洞發(fā)布更新補(bǔ)丁，您就可以將這些漏洞提交給其他網(wǎng)絡(luò)安全公司。”

“那……行吧！一個(gè)月的時(shí)間雖然長了點(diǎn)，但事情還是要做完美些好。這樣，你們把這筆錢捐給寧班之后，我會(huì)把我們團(tuán)隊(duì)掌握的一些漏洞發(fā)到官方的郵箱。”

“您放心，我們馬上就會(huì)聯(lián)系燕北大學(xué)那邊了解捐款渠道，這一千萬今天應(yīng)該就能特批下來，但不能確定什么時(shí)候到指定的捐款賬戶上。您知道的，大筆轉(zhuǎn)賬需要些審核的時(shí)間。不過我們可以在官網(wǎng)同步宣布這個(gè)消息，保證這筆錢能到位的。”

“行吧，那我等會(huì)給你們發(fā)一份清單過去。就這樣吧，我先掛了。”

聽到清單兩個(gè)字，阿伯塔·林恩忍不住抖了抖眉毛，突然覺得這一千萬美元花得大概值了。

“好的，再見，寧教授。”

“再見，林恩先生。”

不太讓人愉悅的一通電話之后，寧為讓三月再次調(diào)出了Java的漏洞庫列表，看了整整五頁的內(nèi)容，干脆讓三月按危險(xiǎn)度比例挑選了列表中一半的漏洞詳情，發(fā)給了Apache官方提供的郵箱。

這個(gè)數(shù)字是很恰當(dāng)?shù)模耆凑瞻⒉ち侄鲃偛耪f的價(jià)格來的，起碼在寧為看來對得起對方捐贈(zèng)的那一千萬美元了。要找出并整理這些漏洞，還是消耗了三月不少算力的，大家又并非朋友，他當(dāng)然不可能給基金會(huì)做義務(wù)工。

等值交換就挺好，誰也不占誰便宜。

但即便如此，當(dāng)對面接收到郵件的時(shí)候，一幫技術(shù)人員都愣住了。

這是在開玩笑嘛？

列表里竟然有13個(gè)還沒發(fā)現(xiàn)的高危漏洞？21個(gè)中危漏洞以及49個(gè)低危漏洞？

低危漏洞暫且不談，影響不是很大，但這30多個(gè)中、高危漏洞真的把所有人都嚇出了一身冷汗。

其實(shí)任何軟件都有漏洞，但是一次性拿到如此多漏洞卻是所有人都沒有過的體驗(yàn)，這次寧為可沒有專門做演示如何利用這些漏洞，只有三月給出的簡單描述。

在受到驚嚇之后，技術(shù)人員們很快開始測試并確定了這30多個(gè)中、高危漏洞的確存在。就這樣寧為提供的漏洞列表跟測試結(jié)果很快擺在了阿伯塔·林恩的案頭。

看過之后這位Apache基金會(huì)的負(fù)責(zé)人也是一身冷汗，然后長出了一口氣。怎么說呢，阿伯塔·林恩本以為寧為能在給出三、五個(gè)高危漏洞已經(jīng)是他所能承受的極限了，給出一千萬的捐款，其實(shí)更多的是想著結(jié)個(gè)善緣。

對于使用極為廣泛的軟件來說，漏洞這東西是無法杜絕的。

也許就因?yàn)橐淮畏舛侣┒吹母拢赡苡謺?huì)出現(xiàn)新的漏洞。

多花點(diǎn)錢，讓寧為以后能按照約定俗成的規(guī)矩來，對于他們來說也算是賺了。

誰敢想寧為竟然真的掌握了如此多的漏洞資料？想到寧為在微博上說，不介意讓Java程序員們忙上一整年這好像還真不是吹牛……

所以理論上來說，這一千萬美元捐得的確挺值的。想到這里，阿伯塔·林恩也不敢在怠慢，立刻開始打電話指揮個(gè)部門按照剛才跟寧為的口頭協(xié)議開始動(dòng)了起來。

這錢肯定是要捐的，好感是必須要刷的。

這么多漏洞如果真的同時(shí)在外界曝光，結(jié)合剛剛log4j2造成的影響，能讓無數(shù)人直接崩潰掉，甚至對Java的整體安全性產(chǎn)生質(zhì)疑，一旦有了這種刻板印象，那才是最大的打擊。

雖然短時(shí)間內(nèi)，大家可能還不得不硬著頭皮繼續(xù)使用Java環(huán)境，因?yàn)楹芏囗?xiàng)目有其延續(xù)性，但未來就說不好了。如果失去了大批客戶的青睞，Java也不是不可替代的，或者說這個(gè)時(shí)代沒有哪種計(jì)算機(jī)語言是不可替代的。

然而等阿伯塔·林恩忙完這一切，看到官網(wǎng)上也掛上了將向燕北大學(xué)寧班捐款的消息，長出了一口氣的同時(shí)又突然愣住了。

因?yàn)樗蝗幌氲搅烁鷮帪樽詈笠粋€(gè)約定。

是的，兩人約定了在寧為將這些漏洞提供給了他們之后，只會(huì)保持沉默一個(gè)月。如果一個(gè)月之后，官方?jīng)]能把這些漏洞封堵上，寧為還是會(huì)像之前一樣，將這些漏洞公布給那些網(wǎng)絡(luò)安全公司跟各大服務(wù)器提供商？

真的，不是阿伯塔·伯恩小看官方那些負(fù)責(zé)解決漏洞的程序員們。如果只有三、五個(gè)漏洞，一個(gè)月的時(shí)間大概夠了。但如果是幾十個(gè)遍及不同位置的漏洞，這一個(gè)月的時(shí)間真的夠嗎？

要知道每次對外發(fā)布公告以及更新之前，還需要經(jīng)過嚴(yán)謹(jǐn)?shù)膬?nèi)部測試，起碼得確保為了彌補(bǔ)漏洞而做的更新不會(huì)搞出更大的漏洞來吧？

調(diào)bug對任何程序員來說都不是件簡單的事情，許多時(shí)候甚至牽一發(fā)而動(dòng)全身。bug越調(diào)越多可不是什么玩笑話，這一點(diǎn)游戲玩家大概都有過體驗(yàn)，眼看著有些越更新越大，BUG還越多，觀感當(dāng)真是一言難盡。

其實(shí)任何程序都是如此，許多在程序設(shè)計(jì)初期就測試出的BUG還好說，還能退一步海闊天空。但是像已經(jīng)有巨大影響力的軟件，要一次性解決這么多BUG，只能靠修補(bǔ)的辦法，那就真不好說了。

這還是軟件漏洞相對比較好處理的情況，像那些做硬件的，比如英特爾，一個(gè)CPU漏洞傳幾代的情況都是有的……

所以三、五個(gè)大漏洞，一個(gè)月的時(shí)間緊一緊，多拿點(diǎn)獎(jiǎng)勵(lì)出去，說不得也勉強(qiáng)夠了，但幾十個(gè)BUG要修補(bǔ)，一個(gè)月時(shí)間就真的是在開玩笑了。

想到這個(gè)問題，阿伯塔·林恩是真的木了。目光不自覺地落到了手機(jī)上……

臉頓時(shí)苦了，不行，他還得給寧為打個(gè)電話，當(dāng)想到剛才的通話，對面那個(gè)難搞的態(tài)度，阿伯塔·林恩有些后悔剛才做的那么積極了。但沒辦法，他真的怕寧為很認(rèn)真的履行約定……

唯一的好處是，這次不用等大佬幫他牽線了，自己的號(hào)碼應(yīng)該已經(jīng)在寧為的通訊錄里了吧？

“喂，寧為教授，真不好意思，沒有打擾到您吧？”

“其實(shí)是打擾了，林恩先生，您可能不知道，我有飯后跟愛人在湖邊散步的習(xí)慣。現(xiàn)在距離我們剛才通話已經(jīng)過去了兩小時(shí)，我剛剛吃完飯正在跟我喜歡的女孩散步，剛剛還在跟她說著笑話來著，你這個(gè)電話把我思路都打斷了……”

“哈哈，寧教授，您可真會(huì)開玩笑。”

“呵呵……”

“是這樣的，寧教授，剛才我們收到你發(fā)來的漏洞列表了，真的非常感謝您對我們工作的支持。但是一次性處理這么多BUG，對我們來說是個(gè)極大的挑戰(zhàn)。所以我想，一個(gè)月時(shí)間可能不夠……”

“你們都已經(jīng)知道了問題在哪兒了，一個(gè)月的時(shí)間怎么可能不夠？”

“這個(gè)……”

“真的，林恩先生，你們這效率太低了。如果你對你們技術(shù)部門沒有信心的話，我的團(tuán)隊(duì)到是可以幫你們做個(gè)顧問，一個(gè)月時(shí)間肯定能把這些BUG解決掉。”

“啊？這個(gè)，可以嗎？”

“當(dāng)然可以的。不過還是那句話，我們寧班現(xiàn)在百廢待興……”

“不用說了，寧教授，我決定代表基金會(huì)再向?qū)幇嗑栀?zèng)一千萬美元，以表達(dá)基金會(huì)對華夏高校教育的支持。希望這筆錢能培養(yǎng)出更多的計(jì)算機(jī)人才，推動(dòng)世界計(jì)算機(jī)語言的發(fā)展。”

“我代表寧班感謝你的慷慨，林恩先生。嗯，回頭我會(huì)將解決問題的思路還是通過郵件發(fā)送給你們的。”

“謝謝了，寧教授！”

“不客氣，再見！”