根據監督惠普TippingPointZDI零日計劃 (Zero Day Initiative)的漏洞研究人員表示，迅速崛起的零日漏洞二級市場和改進的軟件編碼做法正在合力減少提交到惠普ZDI的漏洞數量。

雖然今年漏洞提交量似乎有所下降，惠普TippingPoint DVLabs管理人員Brian Gorenc堅持認為一群強有力的安全研究人員正向該計劃提交關鍵遠程代碼執行漏洞。這種漏洞存在于廣泛使用的軟件中，包括Java、Adobe Reader、IE和Mozilla Firefox瀏覽器等。

“隨著軟件開發越來越成熟，漏洞提交量減少了一點點，但我們仍然專注于關鍵軟件的漏洞，”Gorenc在接受SearchSecurity.com的采訪中表示，“這些漏洞可能造成大范圍的破壞，我們的重點工作就是解決這些漏洞。”在2010年，ZDI計劃創紀錄地收到300個漏洞，而去年提交量增加到350多個。在2012年，ZDI對其研究人員發現的公開披露的漏洞發表了187次公告。

零日計劃（ZDI）創建于2005年，對于嚴重漏洞，它將為研究人員提供5000美元的獎勵。研究人員還可以通過其提交的每個漏洞來賺取積分，從而換取現金獎金或者其他津貼。惠普每年還贊助比賽，為能夠展示可行漏洞的研究人員頒發現金獎勵。參與該計劃的研究人員還可以利用其與軟件供應商現有的關系，通過發現漏洞以及解決軟件漏洞而得到認可。“這可以讓那些獨立研究人員專注于他們的工作，”Gorenc表示，“我們可以為他們當中介，讓他們得到應得的獎賞。”

Gorenc說：“在解決不斷增長的零日漏洞二級市場方面，ZDI計劃并沒有預期的改變，我們不斷看到很多個人想要進行安全研究，只想做自己的研究，并獲得相應的獎賞，”Gorenc表示，“零日計劃總是有其用武之地，我們將在2013年及以后繼續我們的工作。”

漏洞提交量的下降的部分原因在于谷歌、Mozilla、Facebook和PayPal也在運行類似計劃，為私下向他們提交嚴重漏洞的研究人員給予獎賞。安全公司（例如VUPEN）公開承認他們向政府出售漏洞利用，一些公司還通過訂閱模式來出售漏洞利用信息。

Gorenc表示，這些軟件供應商的計劃側重于特定產品，而ZDI計劃試圖解決整個軟件生態系統存在的漏洞。我們需要追蹤這些漏洞在整個系統的走向以及確定這些漏洞是否已被修復。“自ZDI計劃開展以來，我們負責任的披露政策一直運作良好。我們直接與供應商打交道，并且我們會確認他們何時解決漏洞。”

一些安全專家對二級市場置之不理，因為他們認為尚不確定其影響。加拿大Sophos高級安全顧問Chester Wisniewski表示，漏洞研究人員應該得到應得的報酬，但轉向灰色或者黑色市場是不對的。Wisniewski鄙視那些未將漏洞披露給軟件制造商的公司，認為這種做法“不道德”和“不負責任。軟件供應商應該根據明確的規定得到公平的對待，這是非常重要的。”

零日保護 移動漏洞提交

惠普還使用ZDI來將零日威脅保護引入其TippingPoint IPS設備產品。VeriSign的iDefense漏洞貢獻者計劃為iDefense客戶提供類似的好處。對于要求介紹其計劃現狀的采訪，Verisign沒有作出回復。Gorenc表示，ZDI幫助提高威脅保護，但惠普還有其他機制，包括來自其合作伙伴的威脅保護信息，這也能幫助其提高零日攻擊檢測。

Web應用漏洞通常占ZDI漏洞提交的大部分。但Gorenc表示，他預計在2013年將提交更多移動漏洞。移動基帶（在智能手機上運行蜂窩活動）正在吸引研究人員的注意力，他表示，“我們將看到人們花更多時間來追蹤難以得到的目標。”

近場通信（NFC）是為移動支付開發的通信協議，該協議正獲得越來越多的關注。移動瀏覽器錯誤（主要是Webkit漏洞）越來越常見。研究人員還正在以穩定的步伐提交Java漏洞。Gorenc表示，他預計將會有越來越多的研究人員試圖尋找辦法來繞過軟件制造商部署的緩解措施，例如數據執行保護（DEP）和地址空間布局隨機化（ASLR），這些廣泛部署的方法讓代碼執行變得更加困難。