今年早些时候，通用汽车公司的首席信息安全官Eric Litt利用在欧洲阿姆斯特丹召开的黑帽大会这个宝贵机会发表演讲，触及黑客社区，并阐述了大公司处理软件漏洞时经常遇到的问题。上周，他接受外电记者采访，讨论了一些安全问题。

以什么样的方式揭露漏洞并采取补救措施才是负责任的?

在黑帽大会上，我把这个问题分成了许多个小的方面来讲。如果你关注一下开拓者，你会想，是什么激励他们这样做?是名望、财富、好奇心和创造力。他们需要关注，他们也想要钱。而对于有道德的研究员来说，也是一样的。不同的是他们处理信息的方式。所以，作为一个大公司的CISO(首席信息安全官，Chief Information Security Officer)，难道我不希望发现事情的真相吗?当然希望!因为我想确保对漏洞打了补丁，我想对人们所做的工作有所回报。如果他们不能光明正大地得到回报，那么他们可能会以不光彩(黑客)的方式去获取回报。

应该怎样去发现bug比较好呢?

假设在某个平台上有一个漏洞，你想要告诉给世人。有些研究员可能会说这正是你应该做的，因为否则的话厂商就不会去解决。但我要说，同时你也在告诉人们，他们会遭到怎样的破坏，这可是件大事情。并且，如果你发现了漏洞，并且告诉了厂商他们的产品中有一个漏洞，而他们在得知以后的200天内什么都没有做。我们还没找到厂商、研究员和商业用户都能受益的方式，我们知道是可以找到的，但我不确定有没有人愿意接受这个挑战。

对于发现的bug，你一般做出怎样的回应?

我们不想因为被迫不停地打补丁，总是处于动荡不安的情况。我们需要有能力判别这些补丁不会给我们带来副作用，我们需要时间正确地处理事情。

微软因为安全方面的失败遭到了很多批评，相比之下，其它大厂商的情况怎样呢?

我觉得微软非常容易受攻击。你可以抱怨微软，但你也必须认识到他们在这方面投入了很多，我认为他们已经取得了很大进展。虽然他们还没有达到我们的要求，但比较之下，他们确实做得很不错。你看看其他人是怎么说的：“他们做的这是什么啊?”但微软不是有此类问题的惟一的公司，还有的公司最近就发布了82、3个补丁。非常坦白地讲，我觉得其它一些公司做得更差。