第331章 N重误解（第2/4页）

“Apache基金会作为一家为世界许多公司免费提供软件使用的公司，其实在提供漏洞奖励这块更不可能有太多的资金投入。以Java为例，很多漏洞都是我们内部会员免费提供给我们的。这五百万美元的捐款是希望您能将掌握的漏洞都能提前交给我们，让我们能对Java进行更好更有针对性的优化，这也是我们希望对数以百万计的会员负责。”

阿伯塔·林恩苦笑着解释道。

宁为恍然大悟。

他是真从没关心过所谓的漏洞奖金什么的，毕竟他不靠这个发财，只是听了阿伯塔·林恩的话，宁为感叹道：“原来是这样啊！难怪这些公司的产品推出那么多年了，漏洞还那么多，原来这些大公司在漏洞奖金这块的支出这么小气啊？能给黑客带来数以亿计收入的漏洞，奖金最高才给到20万美元？安全专家们找到了漏洞哪有动力去跟那些黑客一起研究这些啊。”

阿伯塔·林恩当然不会告诉宁为，大公司明面上给予的漏洞奖励是一套，同时还有专门的人员在会盯着黑市上直接交易的漏洞。就算他想解释，整个漏洞产业链也是非常复杂的，三言两语又哪里说得清楚？只能耐心的跟宁为科普道：“不不不，宁教授，您不能这么说。毕竟找漏洞拿奖金是完全合法的，值得提倡。利用漏洞牟利放在任何一个法制健全的国家都是非法的，是要受到打击的。这两者真不能放到一起比较。”

宁为兴趣缺缺地说道：“那行吧，五百万就五百万吧。回头我会提供一个有问题的列表发到你们的官方邮箱，当然你们只捐了这么点钱，我也就只能随便截张图给你们了，可能不全，也不会给你们再做演示了。就这样吧，再见，林恩先生。对了，记得这五百万是定向捐给宁班的，别搞错了。”

虽然说市场行情就是这样，但宁为还是觉得索然无味。就好像鸡肋，弃之可惜。不过五百万美元也是好几千万人民币了，用来给宁班发发福利其实也还行。

但想到其他大富豪一般给学校捐款都是上亿上亿的捐出去，他这要点捐款才五百万美元，的确还是有心理落差的。

“等等，要不一千万美元？真的，宁教授，这是我们在修补漏洞这块好几年的预算，都准备拿出来为未来宁班的建设出点力，这……应该差不多了吧？但有一点，以后如果您的团队又发现了其他漏洞，能否按照流程先提交给我们Apache基金会，由官方决定什么时候对外发布？”

“那如果你们一直不更新补上漏洞岂不是漏洞会一直存在？”

“这其实可以定一个给官方反应的日期，比如一个月。如果我们在确认收到您发的漏洞信息之后一个月还没有针对漏洞发布更新补丁，您就可以将这些漏洞提交给其他网络安全公司。”

“那……行吧！一个月的时间虽然长了点，但事情还是要做完美些好。这样，你们把这笔钱捐给宁班之后，我会把我们团队掌握的一些漏洞发到官方的邮箱。”

“您放心，我们马上就会联系燕北大学那边了解捐款渠道，这一千万今天应该就能特批下来，但不能确定什么时候到指定的捐款账户上。您知道的，大笔转账需要些审核的时间。不过我们可以在官网同步宣布这个消息，保证这笔钱能到位的。”

“行吧，那我等会给你们发一份清单过去。就这样吧，我先挂了。”

听到清单两个字，阿伯塔·林恩忍不住抖了抖眉毛，突然觉得这一千万美元花得大概值了。

“好的，再见，宁教授。”

“再见，林恩先生。”

……

不太让人愉悦的一通电话之后，宁为让三月再次调出了Java的漏洞库列表，看了整整五页的内容，干脆让三月按危险度比例挑选了列表中一半的漏洞详情，发给了Apache官方提供的邮箱。

这个数字是很恰当的，完全按照阿伯塔·林恩刚才说的价格来的，起码在宁为看来对得起对方捐赠的那一千万美元了。要找出并整理这些漏洞，还是消耗了三月不少算力的，大家又并非朋友，他当然不可能给基金会做义务工。

等值交换就挺好，谁也不占谁便宜。

但即便如此，当对面接收到邮件的时候，一帮技术人员都愣住了。

这是在开玩笑嘛？

列表里竟然有13个还没发现的高危漏洞？21个中危漏洞以及49个低危漏洞？

低危漏洞暂且不谈，影响不是很大，但这30多个中、高危漏洞真的把所有人都吓出了一身冷汗。

其实任何软件都有漏洞，但是一次性拿到如此多漏洞却是所有人都没有过的体验，这次宁为可没有专门做演示如何利用这些漏洞，只有三月给出的简单描述。