【TechTarget中国原创】几年前,在大型软件公司中雇用安全研究人员是很新奇的事情。像微软、Oracle、IBM等厂商都对此持怀疑态度,理由是没有办法知道是否可以在企业环境中信任那些有可能破坏他们的应用程序的人。这是该行业中的一个大话题,特别是在研究人员之间,存在大量的往来邮件表,还有一些关于谁被出卖了谁还是安全的地会议。
当然,这都是发生在安全研究成为主流职业之前,在这个职业中,像Dave Aitel、HD Moore、David Litchfield等人都可以合法谋生。微软在雇用研究人员方面很积极,这次Matt Miller家挼微软安全科学团队只是又一次冲击。Miller,也叫做Skape,在Windows的利用方面已经作了几年严肃的研究工作,他还是Moore的Metaploit项目的主要贡献人员。Miller还是一个host IPS ,即WehnTrust的作者。
微软的常驻安全开发周期负责人Michael Howard在博客中提到雇用Miller时说:“看到我们雇用越来越多的Miiler这样的人才,真是令人愉快。”我觉得他说的对极了。我一直都不明白黑客/研究人员为了更好地工作,需要保持独立(不被雇用)的争论。有什么比Redmond更好的地方可以有机会对Windows发出攻击?如果你现在就向四周看看,一些最创新的研究都是由有企业背景的研究人员作出的:Mark Dowd和Alex Sotirov的Windows内存保护攻击,Billy Hoffman的AJAX ninjitsu;Billy Rios和Nitesh Dhanjan的钓鱼缓存投毒攻击; Jose Nazarios的对僵尸网络持续掌握的情景。