问如何处理那些拒绝修复安全漏洞的公司？

EN

老实说，有些人在为自己的错误负责之前，需要一个警钟。

给公司一个固定的时间，比如从今天起一个月后发布补丁。如果它们不遵守，则在全披露邮件列表上发布有关该漏洞的信息。如果不公开这些信息，那么你就冒着有组织犯罪会发现这一缺陷并利用它牟利的风险。

(我不想这么说，但您已经向攻击者提供了足够的信息来查找此漏洞。有4000万销售的平台不多.时钟在滴答作响。)

你可以做一个时间表

首先，他们可能正致力于测试和推出一个解决方案。在你公开之前，你可能想让他们知道你的时间表，看看他们是否有反应。如果他们有动力这样做的话，他们可能更愿意进行交流。

你可以含糊其辞

你典型的“黑帽子”并不像他想要的那样明亮。作为一个规则，反秒世界的大部分依靠现成的概念证明代码来建立他们的功绩。如果他足够聪明从零开始编写一个漏洞，那么他可能会把代码卖给一个犯罪组织，而不是把它发布在一个漏洞数据库上。这是不好的，因为真正的坏人有代码，但好的是，你的一般脚本-孩子没有。

因此，有时安全研究人员会以足够模糊的术语发布漏洞细节，使得不熟练的程序员很难构建漏洞，但熟练的程序员很容易发现漏洞。通常情况下，这会给您带来几个星期的时间；最终会有人编写POC代码。

你可以直接去做

有一种相当普遍的观点认为，如果您能够尽快将其应用到白帽安全工具中(例如，构建一个nessus插件等)，那么您将提供最好的保护。一旦漏洞被普遍理解，黑帽代码是不可避免的。但至少你可以让防守者先发制人。

除了Rook和tylerl的出色指导外，您确定在公司有正确的联系人吗？

大公司在内部传递信息，甚至知道传递给谁都是无用的，所以请确保将信息发送给正确的团队。

考虑把它发送给该公司更广泛的受众-做你的研究；谷歌寻找合适的联系人。这可能包括CIO或CISO，甚至营销总监等。