tocherrygo

@polaa 感谢网友提供法律依据，我会认真看看。谢谢。

@zgzhang 我只能说他的初心没问题，但是他未直接跟厂家沟通，直接提交漏洞让平台处理这个步骤有问题。平台一旦接受漏洞，就直接公布，再通知厂家，这明显是已知处理逻辑。他完全可以先预知后续发展。

@fate 请认真看题目，你做啄木鸟找虫子没关系，别把树啄死了。

@fate 垃圾产品不值一提，实则这件事被恶心到。

@im3x 我也是这么想的，实在他们不按规则走。直接发布，让平台通知我们。平台直接发布，我们修都没来得及修，全网知道了。

@ferock 谢谢解答，乌云我知道这个平台，以前很火。关闭的问题我不清楚具体情况，国内安全圈子好像有 GJ 支持，按理说做法合理，没人会找麻烦。我知道的是白帽有时就是黑帽，没办法，这东西实在不好说，我也是发出来大家讨论。

@ferock 那如果不存在利益关系，正常讨论漏洞修复，他们为何刺激漏洞提交而发布奖励？我要不关心客户利益，我们公司也得运营，也得花钱。不能说，我公司程序员写的 bug 被别人发现造成客户损失，反倒让公司程序员花钱赔吧？整个逻辑流程就是：系统做出来了，也给客户用了，被安全人员审计代码发现问题，提交漏洞平台，被其他人看见，利用漏洞造成客户损失，客户找我们赔偿。难道我们不应该找发布漏洞的人一个说法吗？我觉得安全平台发布漏洞存在问题，不应该把详细内容公布，另外还应该修复完再发布。

@yukiww233 做法实在不考虑厂家客户利益关系，通知完就公布，其实都效益不大。windows 平台漏洞都是伴随着更新才发布的，难道直接就公布了漏洞让别人挖吗

@ferock 讲道理，不应该是厂家修复后再公布吗？他通知厂家，修复完，他公布，这个其实没啥矛盾，而且更安全，为啥就直接公布呢？实在搞不懂。