甲骨文安全长发文说：不准抓我们的产品漏洞！
甲骨文（Oracle）安全长Mary Ann Davidson本周二（8/11）于官方部落格
以长篇大论表达她对甲骨文产品安全性的看法（以上连结为archive.org存
档，原文已被删），要求客户或第三方研究人员不该以逆向工程寻找甲骨文
产品的漏洞，也不推崇科技产业时兴的抓漏奖励。此文一出，让外界议论纷
纷，甲骨文则迅速在当天移除该篇文章。
Davidson认为，客户以逆向工程找出甲骨文产品的漏洞已经违反甲骨文的授
权协议（EULA）。她说，甲骨文释出的产品都是执行格式，由于牵涉到智慧
财产权的议题，与客户的授权协议禁止客户或客户所聘请的顾问团队针对甲
骨文产品的执行程式进行逆向工程、反编译、反组合，或是任何其他把执行
程式转成原始程式码的手段。
这是因为有许多客户会自行或委托顾问公司分析所使用产品的安全性，
Davidson表示，当客户发现安全漏洞并提出服务请求时，若甲骨文发现该漏
洞只有透过逆向工程才会曝光，甲骨文就会同时发信给客户及其顾问公司，
提醒他们此一行为已侵犯彼此的授权协议，迄今她已写了很多信件要求客户
不要再针对甲骨文的程式进行逆向工程。
Davidson还强调，甲骨文有能力分析该公司的产品程式码，这是他们的工
作，也是他们的强项，不需要外界来分析，同时也不想浪费时间来研究第三
方所提报的程式怪异之处。
就算客户找到的是真正的安全漏洞，也不能合法化他们使用逆向工程的侵权
事实。Davidson形容，这就像是人们不应因为房子的门窗未锁就擅闯一样。
虽然甲骨文仍会修补此一臭虫，但并不会因此归功于客户，因为甲骨文无法
感谢客户违反授权协议。
Davidson对科技产业时兴的抓漏奖励（Bug Bounty）计画也不以为然，指出
此一趋势只是在向外界昭告业者的程式并不安全。以甲骨文为例，他们自己
找到了87%的安全漏洞，来自第三方安全研究人员的只占了3%，其他则是客
户发现的。 Davidson说，她并非瞧不起抓漏奖励计画，而是认为花大把的
钞票只为了解决3%的漏洞是不划算的，不如聘请一个负责开发抓漏工具的员
工。
这篇文章引来许多的嘲讽，F-Secure资安研究长Mykko Hypponen在Twitter
上转贴这篇文章，声称看来甲骨文真的很讨厌逆向工程与抓漏奖励。有分析
师质疑，甲骨文如何能把矛头指向客户，有研究人员怀疑这篇文章的真实
性，还有媒体评论Davidson简直就是在挑衅骇客。
至于甲骨文则在此篇文章下架后另外对外表示，产品及服务的安全性一直是
该公司最重视的环节，除了提供产品安全保证计画之外，甲骨文亦与第三方
研究人员及客户合作以确保甲骨文产品的安全性，文章被移除是因它并不符
合甲骨文的想法或是甲骨文与客户之间的关系。（编译/陈晓莉）
iThome
http://www.ithome.com.tw/news/98059
心得
骇客：大伙进攻囉

甲

借转Jay版

"不~~~不要~~~那个洞不可以~~~~"

安全长是移民中国 加入共产党了吗？

骇客:可恶想找

玻璃心

欠人找 这是逆向操作吧

不就律师比工程师多的公司吗

玻璃心 玻璃程式

甲骨文这种名不见经传的公司有什么产品值得去抓漏洞?

垃圾公司 java sql libreoffice 并购完就放生

耍宝

垃圾公司

垄断许久，会怕了齁？

垃圾公司

怀疑安全长在反串

金庸：不准书迷眺我错字

甲骨文听名字就知道是中国公司

酷喔

拜托这家人别那么厚话好吗?就 好好的做事 去打这种口水战只会让非柯粉的支持者很无言

Oracle一般人用不到啊，用运算核心数算钱的呢。业界最强