Valve 回应 Steam 开发者的安全担忧,但仍留下未解答的问题
本周早些时候,SteamDB 发布了 Steam 开发者社区部分成员致 Valve 的一封公开信,信中对该公司的一些安全措施表示担忧。
他们最担心的是,与 Facebook 和 Google 等其他大公司不同,Valve 没有官方的“漏洞赏金”计划,这些公司会向发现漏洞的安全研究人员提供数百甚至数千美元的奖励。那些发现安全漏洞并想做正确的事情并报告漏洞的人不知道该向谁求助,通常得不到奖励。如果他们得到奖励,那也只是以稀有的游戏内经济物品的形式,比如《军团要塞 2》的帽子。
“无论赏金多少,如果没有一个清晰的页面描述如何向 Valve 报告安全漏洞以及如何确认已收到报告,那么这对 Valve 的客户来说都是有害的,”公开信中写道,“在 Google 上搜索‘Steam 漏洞报告’时,最上面的结果就是 Steam Powered Users Forum 中针对视频游戏 DogFighter 的部分 - 这表明希望负责任地报告漏洞的用户很难找到这样做的途径。”
Valve 在信函发布当天就做出了回应。“我们非常重视安全问题,您的电子邮件促使我们评估当前的程序,”信函中写道。“鉴于此,我们最近创建了一个新的安全网页,解释了我们接收和响应安全报告的流程(http://www.valvesoftware.com/security)。我们相信我们的流程是健全的,但我们也明白,我们尚未完全公开流程,这造成了一些混乱。我们希望上述页面有助于提高清晰度和可发现性。”
该公司还解释称,只有 Valve 内部的一些团队(例如《军团要塞 2》团队)选择对某些有价值的报告提供小额奖励。目前,Valve 尚未计划建立正式的漏洞赏金计划。
Valve 的回应也无视了公开信中的说法,即该公司花了 24 小时才修补其服务器以解决臭名昭著的 Heartbleed 漏洞。信中声称这种延迟是“不可接受的”,而 Valve 仍未说明哪些数据可能遭到泄露。
“安全页面是朝着正确方向迈出的一步,但有些问题仍未得到解答,”这封信的作者在 Valve 做出回应后表示。“我们将继续与 Valve 沟通。”
您认为报告安全漏洞的人应该得到什么回报?请在下面的评论中告诉我们。
有新闻提示或想直接联系我们?请发送电子邮件至 news@gamespot.com