Google上个月悄悄在自家企业网站上增辟新网页，在提供网站安全信息之余，也向找出并回报程序瑕疵的安全研究员致意。

Google把曾经回报安全性弱点的个人与组织一一列名，刊登在新网页上，借此向他们致谢。安全研究员说，就大型网络公司而论，这可说是前所未见的创举，在雅虎、AOL的网站都未见过这种道谢名单。

Google工程部副总裁道格拉斯（Douglas Merrill）说：“我们想感谢见义勇为的人们，并大大地公开肯定他们高超的技能。我认识的安全研究员都特别为了‘极客可信度’(geek credibility)而跃跃欲试，因为可以说‘嘿!瞧瞧我做了什么，很酷吧!’”

传统软件公司通常通过在安全公告中说明是谁发现了产品中的缺陷这种方式给予安全研究人员以荣誉。但在Web 2.0 的世界里，厂商无须发布安全公告。

Google的大多数服务无需用户在计算机上安装软件，因此Google主要在自己的服务器上安装补丁软件。

WhiteHat Security 首席技术官格罗斯曼（Jeremiah Gros）说，安全公告不适合基于Web 的软件。当Web 软件公司发布补丁软件时，用户无需安装。格罗斯曼是Google在网站上要感谢的人之一。

新弱点

由于拓展了网站的功能，Web 2.0 正在蓬勃发展。专家表示，随着网站新功能的增加，提供与桌面软件相似的体验，安全危险也在增长。一些流行的邮件论坛(mailing list)经常指出包括Google在内的网站上的安全缺陷。道格拉斯说，这是一种新型软件。每种新型软件都有自己的特点，我们需要学习这种交互性很强的软件。

发现的缺陷都是Web 应用软件中相对较新的类型的缺陷。例如，跨站点脚本(cross-site scripting bug)可以帮助黑客发动钓鱼式(phishing)攻击，与JavaScript相关的缺陷可以帮助黑客发动攻击，伪造跨站点请求(Cross-site request forgery；CSRF)可以使不友好的Web 网站向信任的网站传递请求。

只有遵循“负责任披露”原则的安全研究人员才会获得Google的荣誉。根据这一原则，发现安全缺陷的研究人员不能公开披露缺陷，而是与受影响的软件或服务提供商联系，报告缺陷的详细资料，以便它们修正缺陷。

道格拉斯说，我们认为，负责任的披露是目前安全产业最重要的原则。一旦安全研究人员公开缺陷，就立即会出现攻击。最好还是不要让用户面临受攻击的危险。

格罗斯曼说，“Google感谢你”名单在业界是第一次。他指出，雅虎和AOL 等其它Web 公司没有以同样的方式给予安全研究人员荣誉。

他表示，Google理解，社区的参与是信息安全领域的一个重要部分。通过向安全社区示好，Google获得了它保护用户安全所需要的信息。这是软件厂商在过去十年间总结出来的经验教训，Web 公司也必须这样做。

反间谍件工具厂商Sunbelt Software的总裁亚历克斯说，Google采取了正确的方法。他说，Google“平易近人”，能够听取安全研究人员的建议，并迅速做出反应。

AOL 的发言人安德鲁说，AOL 可能考虑与Google类似的方法。他表示，但是，目前，我们的产品经理会通过博客等形式直接向具体的研究人员表示感谢。

雅虎的一名代表说，在必要时，雅虎与研究人员合作解决安全缺陷。这名代表指出，我们关注的焦点是提供安全的用户体验，我们会向用户警告要求他们采取措施的重要的安全问题。但雅虎不会公开授予安全研究人员荣誉。