拖延數月，黑莓終于修復了QNX操作系統的BadAlloc安全漏洞。盡管企業通常不愿公開披露軟件漏洞，但若沒有外界的壓力，終端軟硬件客戶很可能要等待很久，才能拿到官方的修復補丁。以黑莓為例，在美國國土安全部介入數月之后，該公司終于在本周二正式披露了位于其 QNX 操作系統中的一個 BadAlloc 安全漏洞。

　　幾個月來，黑莓操作系統的BadAlloc安全漏洞一直存在漏洞，該漏洞使 2 億輛汽車以及醫院和工廠的系統處于危險之中。

　　“這確實引發了一場新的辯論。在任何情況下，將如此廣泛的漏洞保密是有益的嗎？” NTT 應用安全戰略副總裁 Setu Kulkarni 說。“畢竟，與物理對抗性威脅不同，網絡威脅無法被邊界或條約看到或遏制。在這種情況下，越早披露，就能越早推出預防措施。”

　　BadAlloc 漏洞于去年 4 月由微軟研究人員首次發現，他們在多家公司的操作系統和軟件中發現了該漏洞。一個月后，網絡安全和基礎設施安全局 （CISA） 的公告警告必須修補該漏洞。但黑莓直到周二才發現其 QNX 操作系統存在漏洞，且并沒有采取行動或公開警告組織。

　　BlackBerry QNX 軟件開發平臺 （SDP） 6.5.0SP1 及更早版本、QNX OS for Medical 1.1 及更早版本和 QNX OS for Safety 1.0.1受影響版本中運行時庫的calloc（）函數中的整數溢出漏洞。黑莓表示，早些時候“可能允許成功的攻擊者執行拒絕服務或執行任意代碼”，并強調沒有證據表明該漏洞已被利用。

　　黑莓的披露引發了 CISA 的警告，該警告指出黑莓 QNX RTOS 存在于廣泛的產品中。該機構表示，妥協“可能導致惡意行為者控制高度敏感的系統，增加國家關鍵職能的風險。”

　　CISA 敦促產品使用易受攻擊版本的制造商聯系黑莓獲取補丁。“開發獨特版本的 RTOS 軟件的產品制造商應該聯系黑莓以獲取補丁代碼，”警報說。

　　該公司表示，將 BadAlloc 保密的理由聽起來很可疑，但它表示“一旦調查完成并發布軟件更新”，就會發布安全公告，但確實提供了鼓勵用戶實施的更新。

　　隨著對供應鏈的一次又一次攻擊，黑莓不愿上市是難以理解的。BreachQuest 的首席信息安全官 AJ King 表示：“這種硬碰硬的方法繼續卷土重來。” “軟件供應鏈問題現在是主流，是敲詐勒索軟件和僵尸網絡的門戶藥物。”

　　King 指出：“與提前采取主動措施向消費者表明您正在盡一切努力保護他們的數據（在這種情況下，他們的物理安全）安全相比，被迫披露總是更糟糕。” 他主張“讓經驗豐富的安全主管在談判桌前占有一席之地，并確保他們直接向董事會負責。” 金說，這是朝著“破壞盡可能長時間保持安靜的有毒管理文化”邁出的良好第一步。

　　Kulkarni 承認黑莓可能已經將信息披露視為“在使用 QNX 的設備上描繪目標”，他爭辯說，假設“網絡犯罪分子在這個時代等待信息披露是幼稚的”。

　　由于拜登總統簽署了關于緩解供應鏈風險的行政命令（EO），“信息共享的推動力增強了——這應該是大多數（如果不是全部）披露的前進方法，尤其是當沒有全面的信息披露時Kulkarni 說：”我們可以私下接觸擁有數億個系統使用其組件的制造商。“

　　黑莓從私人披露轉向公開披露，這表明黑莓確定無法完全估計其 QNX 系統的擴散程度，”他說。“此外，鑒于 BadAlloc 的披露已經公開，較早的披露可能會加快預防措施，以防止基于 QNX 的系統上或通過 QNX 系統進行漏洞利用。”

　　不幸的是，黑莓沉默的代價可能是以聲譽資本為代價的。“他們不再只是受此漏洞影響的公司名單上的另一家公司，他們現在有一個故事，專門講述他們有意做出的將影響降至最低的決定，”金說。“在當今世界，沒有人期望完美。事情發生。但是，在您的業務實踐中表現出您的誠信并保持問責制將使您與競爭對手區分開來。如果我從 BlackBerry 采購，我會問自己，‘他們還隱藏了什么？’”