ビジネスモデル
オープンソースソフトウェアのパッチを作成し、そこにバグを導入して使用します。 次に、自分のバグのエクスプロイトを作成し、死体あたり3000ドルから販売します。
実装
もちろん、OSSメンテナーは愚か者ではなく、リリースの明らかなエラーを見逃しません。 この点に関して、パッチが安定バージョンに落ちないように、かなりの冗長性を追加して、ダースパッチでダースパッチを汚すために、バグを含むパッチのコミットを明確に計画する必要があります。 さらに、OSSの世界では、カーネルであれFirefoxであれ、あらゆる重大な製品のテストテクノロジーが公開されているため、テストシステムをバイパスすることも克服できないタスクではありません。
問題
1.ビジネスアプリケーションを作成するプログラマーにとって、OSSソースとそれらのドキュメントは人生と両立しない典型的な悪夢です(私自身の経験から知っています...)。そのため、OSS作成者自身またはピッキングエクスペリエンスを持つコミュニティのアクティブメンバーはパフォーマーの役割を果たす必要があります3年間のDefinesの瓦inの中では、それ自体が問題になる可能性があります。 すべての支払い者が、彼が大切にしているソフトウェアを台無しにすることに同意するとは限りません...
解決策:
一方で、犠牲者のアーキテクチャを理解し、下劣な計画であなたと連帯し、エンコーダーが関連フォーラムで公式に正式に雇用することを完全に疑っている人を見つけるだけで十分です。 。 :)
2. a)バグが他のバグと重複して機能しなくなるb)メンテナーが「悪意のある」コードの重要な部分をコミットしないというリスクが高い。 どちらの場合も、投資にはリスクがあります。
解決策:
特定のことをアドバイスすることは困難です。バグを誰が設計するか、パッチにどの程度の冗長性が含まれるか、コミットプロセスにどのように従うかによって異なります。 いずれにせよ、それはすべてスタートアップに依存しています。
お金
ブラウザのクリーンな0day RCEの平均コスト(指は指摘しません)を$ 3kで取り、脆弱性が傍観しているうちに販売されたコピーの数が20から30に達する可能性がある場合、推測によると、平均で$ 75,000の収益を計算するのは簡単です、最大で5kがプログラマーとアーキテクト(あなた自身でない場合)に送られます-ご承知の通り。
一般的に、ビジネスは非常に収益性が高く、犯罪者ではありません。
前提条件
1.お金。 もっと-より良いが、$ 5k-目のための私見。
2.コミュニケーション。 誰があなたから購入するかを正確に知る必要があります。数人を個人的に知ることをお勧めします。
3.時間。 製品のリリースサイクルに応じて異なるプロジェクトの期間中、それを凍結することによってお金を危険にさらす意思。
「ビジネスには社会的責任が必要です!」
そのようなグループの影響を過大評価することは困難です.OSSの世界では、私が説明したシナリオは、集合的なソフトウェア開発のまさに基盤のタイムクロックボムであり、Gatesを保存して、現在の時間には機能しないようにしています...