如何正确地匿名披露安全漏洞？

Question

假设我在我的公司使用的软件中找到了一个登录旁路/根后门，它只需输入一个键盘组合就可以使您在该软件中具有根权限。

我已经向我的公司和提供软件的公司报告了这一点，但是，尽管可能存在重大的安全风险，也有由此引起的法律风险(软件报告生产编号并计算BI等)，但两者都不关心。

我尝试了与来自同一个供应商的其他软件产品的组合，这些软件也有相同的后门。我们应该如何匿名披露这个信息(我知道其他公司使用这个软件)，这样就不会对我自己产生影响，因为我们和那个供应商有着持续的业务关系。

Answer 1

在这种情况下，试图让第三方陷入困境可能会有所帮助。

这一领域的主要公司之一是零日倡议。你可以把你的缺陷报告给他们或者其他第三方。根据此缺陷的重要性，您可能会因报告该缺陷而获得金钱补偿。

这些公司通常比一般的独立人士拥有更多的人际关系和影响力。