pluginvulnerabilities.com是抛出WordPress.org支持论坛主持人通过发布零天漏洞

图像学分:JASON BLACKEYE

一种名为Plugin漏洞的安全服务，由John Grillot创立，正在采取Vigilante方法来解决针对WordPress.org的申诉支持论坛主持人.该公司通过发布零天漏洞(没有发出的修补程序)，然后尝试通过WordPress.org支持论坛来联系插件作者来抗议主持人的行动:

由于WordPress支持论坛的主持人，我们持续不恰当的行为我们在抗议上完全披露漏洞，直到WordPress获得这种情况，所以我们正在释放这篇文章，然后只尝试通过WordPress通知开发人员支持论坛.您也可以向论坛上通知开发人员此问题.希望主持人终于将很快看到光明并尽快清理他们的行为，因此将不再需要这些全面披露(我们希望他们很快结束).

在上面引用的联系事件中，格栅声称，主持人已删除他的评论，涵盖了安全问题，而不是试图修复它们，并促进某些安全公司，以便在其他投诉中修复黑客网站.

作为响应，Plugin漏洞已发布一串漏洞，自2018年9月开始抗议以来已全面披露.这些帖子详细介绍了代码中漏洞的确切位置，以及概念证明.帖子随后尝试通过WordPress.org支持论坛通知开发人员.

grillot表示，他希望返回pengint漏洞的漏洞的负责披露政策，但不会结束抗议，直到Wordpress.org支持论坛主持人遵守他所概述的"适当行为"的列表.

WordPress'安全领导目前正在通过Godaddy WordPress Ecosystem负责人之后经过过渡时期，从他的职位从他作为安全负责人到2018年12月.Automattic技术账户工程师Jake Spurlock正在协调释放，而下一个选中团队的人.本公告是在#Security渠道中取出的，但Josepha Haden表示，很快就有一个众多公开发布的计划.Campbell确实希望发布他拖欠的原因的细节，但表示他认为他认为这一角色是很重要的，并且"这种位置的新鲜能量的增加的涌入是非常健康的."

当被问及Plugin漏洞的抗议WordPress.org时，Spurlock引用了WordPress'Hackerone配置文件上的负责任披露指南.它包括以下关于发布漏洞的建议:

给我们一个合理的时间来纠正这个问题，然后是任何信息.我们深深地关心安全性，而是作为一个开源项目，我们的团队主要由志愿者组成.

Spurlock表示，由于这些指南与核心更相关，因此处理第三方插件是一个棘手的情况.理想情况下，将首先通知插件作者，以便他们可以使用插件团队来推送更新并删除可能包含这些漏洞的旧版本.

"WordPress开源项目始终寻找负责任的安全漏洞，"Spurlock表示."我们有一个披露插件和核心的过程.这些过程都不包括发布0天的漏洞."

grillot没有回应我们的评论请求，但该公司最近的博客职位争辩说，在过去的负责任披露之后，有时会导致漏洞"掩盖"，甚至有时会导致他们毫不掩盖.

wordpress.org支持论坛主持人不允许人们在支持论坛上报告漏洞或从事关于仍未固定的漏洞的讨论.Reporting的首选大道是通过电子邮件@ wordpress.org进行电子邮件@ wordhest.org，因此插件团队可以及时使用作者来解决插件.

但是，在狂野的插件世界中，包括超过55,000名托管在WordPress.org上，有时候负责披露分崩离析，偶尔会失败用户.负责任的披露不是一个完美的政策，但总的来说它往往比替代方案更好地工作.插件漏洞服务甚至指出，他们打算在抗议之后返回负责任的披露，基本上认识到这一政策是插件生态系统中与他人共存的最佳方式.

与此同时，如果插件作者不立即编写补丁，则发布零天漏洞将网站暴露于潜在攻击.WordPress.org唯一可以暂时删除插件直到可以释放修复程序.此措施可保护新用户免受下载易受攻击的软件，但对于已有插件活动的用户而言，没有任何作用.如果在禁用它直到有修复之前，网站所有者将保护自己，他们需要知道插件易受攻击.

插件漏洞'有争议的抗议活动，有些可能甚至可以称呼不道德，可能不是最新的催化剂，即改善WordPress.org的安全方法.这是一个更大问题的症状.WordPress需要强大，可见的安全领导和一个专用资源的团队，以改善插件生态系统.插件作者需要更好的通知系统，用于向WordPress admin中的重要安全更新用户提供建议.大多数用户未订阅行业博客和安全服务-他们依赖于WordPress，让他们知道更新很重要.改装可用于插件开发人员和创建更简化的安全流的基础架构对于修复插件生态系统的声誉至关重要.