【IT专家网独家】观点:当有人报告说你正在使用的产品有一个缺陷的时候,你想要供货商提醒程序员和律师们吗?
如果回到2000年的话,我可以想象,一家公司正在抵触一个缺陷报告,并且对此态度恶劣。退一步讲,你可以原谅人们认为泄露会让事情更糟的想法。但是现在情况不同了。
在现在的日子里,遇到这样的事情只有一种方式:接受允许陌生人寻找你的产品缺陷的想法。告诉他们,还有你的客户们,所有的软件产品都有缺陷,但是你将会尽力去修正它们。
Autonomy,KeyView software软件的制造者,在其他文件之间执行了文件格式解释,它们就采用了错误的态度。当公司面对一份来自Secunia的即将发表的缺陷报告的时候,他们的答复是一封来自他们的联合总律师的威胁信。
Secunia解释了全部的情况,从他们的观点开始,在这篇博客中你可以了解到这两家公司之间所有来往文件。如果你问我的话,我只能说很震惊,Autonomy应该用合法的行动,即使他们认为这份报告是假的,Secunia则掌握了先机,证明它们是正确的。采用这种方式完全是个失败者。
提醒你一下,KeyView正是那种你可以想到的,通过用户的收入而受到公司的那种类型的软件。它读取输入,然后解释成多种文件格式,其中很多格式都已经非常老了。文件解析代码可能会出现这些问题;它需要繁重的检查和阶段性的查阅。许多这样的解释代码都很老了,并且是在这些问题还没有被足够关注的时代写下的。
McAfee 和 Secunia 分别发布了新的自由软件来保护用户。
对于Secunia 和 KeyView,问题就是Lotus 1-2-3解析器。IBM在Notes中包括了KeyView,并且在它们的发布中修正了Secunia提到的缺陷。但是KeyView的代码版本中还没有进行修正。Autonomy则认为问题已经修正了。Secunia却不这么看。
我做软件性能测试这一行已经大约20年了,无论何时,供应商们的许可证协议上都禁止软件用户进行性能测试,至少是禁止对测试结果的发布。我不确定现在是否仍然是这样,但是数据库供应商在这个规定上已经是声名狼籍了。
在测试行业,我们总是试图尽可能地接近这些规定的边界,它总是在不断激怒供应商去控告你(当然只有测试结果失败的会这样做)。在这个良好的传统中,类似Autonomy这样的公司禁止关于它们公司产品的缺陷信息的公布:“……我们的许可证协议明确禁止了你的发布中所设计的行为……”
我不是个律师,但是类似这样的规定是具有最终强制效力的。也许Autonomy可以强制Secunia收回关于他们的产品的缺陷报告。
在这个事件中,谁是受到较多伤害的一方?我知道,如果我是KeyView的客户(或者是帮定了KeyView的IBM或者赛门铁克产品的用户),我只能推断说,Autonomy更愿意掩盖他们的缺陷,而不是修正它们。这是很悲哀的。
IT专家网原创文章,未经许可,严禁转载!
