美国海军似乎开始收购主流消费级软件中存在的漏洞(0-Day漏洞或者其他),其中不乏微软、Adobe、谷歌、苹果等知名软件厂商。事实上安全专家和网络罪犯在网络上购买/出售漏洞是行业内的潜规则,前者通常出售给所属软件公司以BUG悬赏方式获得奖励,而后者则将他们的知识出售给其他非法用途的网络犯罪者。自然还有第三类漏洞购买者,那就是政府,使用这些网络漏洞用于自己的网络攻击。
那么美国海军购买漏洞的主要目的是什么?在海军的宣传内容中非常明确:
软件供应商应该积极向政府提交存在的漏洞、O-Day和N-Day(不超过六个月)清单,以便于政府从供应清单和漏洞复体的发展趋势中选择合作的对象。
尽管这个观点并不是十分新鲜,但作为普通消费者并不需要担心傲慢的政府突然发善心从研发数字武器转移到改善数百万用户的安全问题上。