Stop Saying "Responsible Disclosure"
a year ago
- #disclosure
- #security
- #terminology
- ‘负责任披露’这一术语模糊且不具体,因为‘负责任’的标准可能因情况而异。
- ‘协调披露’是更中性的表述,但仍缺乏明确性,会引发‘与谁协调?’之类的疑问。
- 更精确的替代方案包括‘厂商协调披露’、‘维护者协调披露’或‘用户协调披露’,这些表述明确了流程中的参与方。
- 用户协调披露并非新概念,但可能是新命名的,例如研究人员警告用户漏洞的案例就体现了这一点。
- 还可以进一步增加具体性,例如加入截止期限(如‘厂商协调披露(90天截止期)’)。
- 披露政策具有复杂性,应当质疑‘负责任披露’等模糊术语以追求更清晰的表述。