Навеяно темой и общением в блоге Сергея Гордейчика (http://sgordey.blogspot.com/2012/03/blog-post_24.html)
Собственно, сделал следующие выводы, предлагаю потроллить обсудить.

1. Уязвимости есть интеллектуальная собственность.

2. Эксплоиты (программы для проведения атак используя уязвимости) есть обычное ПО (то есть их также можно патентовать)

3. 1 и 2 есть интеллектуальная собственность, то есть актив компании, в случае, если уязвимость обнаружена и программа (сплоит) написана ее сотрудниками в рабочее время (с нормировками на трудовой договор).

4. 1 и 2 можно продавать как обычный софт, так как это и есть обычный софт, в случаях, явно не установленных УК 273, то есть экспертами. И если не нарушает лиц. соглашение ПО, в котором эксплуатируется уязвимость (спасибо Андрею Петухову за коммент)

5. Исторически сложилась модель продаж с локализованными крупными покупателями (zdi, госдеп и проч.).

Отсюда делаю вывод, что нету разницы что продавать – сканер уязвимостей, эксплоиты, или очередную игрушку типа “фермы”. У кого что лучше получается писать, продавать.

Не согласны?