安全厂商WSLab推出漏洞拍卖平台

一家位于瑞士的安全业者WSLabi在上周发表了一个漏洞拍卖平台，提供研究人员一个入口网站，让研究人员、安全销售业者及软件公司可以透过公开的平台进行互动。

WSLabi宣称自己是一个中立的独立实验室，WSLabi执行长Herman Zampariolo表示，WSLabi网站的设立可让安全研究人员对于自己的发现可以获得一个合理的价格，并确保这些研究人员的心血不会被迫免费提供给业者或是卖给黑客。

因此，WSLabi表示该公司将会筛选买家及卖家的身份，以保护漏洞来源及出售对象的合法性，但为了顾及彼此的隐私，在网站上一律以昵称交易；一旦研究人员将自己的发现张贴在交易网站上，实验室就会进行分析及实验，并提供该漏洞的概念性验证程序供买家竞标。

卖家可以透过三种方式在平台上销售这些漏洞，包括设立底价进行拍卖、提供固定价格供不同买家购买，或是独家销售给一家业者。

WSLabi表示，透过不同的交易模式可最大化研究人员的发现，例如一个原本以300～1000美元独家销售给特定业者的漏洞，在该平台可得到10～20倍的回馈。

Herman Zampariolo指出，去年研究人员约分析了7000个公开漏洞，不过，每年平均发现的新漏洞约有13.9万个。

WSLabi策略总监Roberto Preatoni表示，现在已经有3个重要漏洞待售，分别是与Linux、Yahoo! Messenger及SquirrelMail相关的漏洞，在该站平台公开竞标得以让研究人员确信他们的发现可得到适当的价值。

关于漏洞的标售时有所闻，但这却是首次出现公开的竞标平台，即使WSLabi表示他们只会将这些漏洞详细信息卖给合法买家，但仍有安全业者担心这些漏洞信息仍有可能落入黑客手中