Bugtraqเป็นรายชื่ออีเมลอิเล็กทรอนิกส์ที่อุทิศให้กับประเด็นเกี่ยวกับความปลอดภัยของคอมพิวเตอร์ประเด็นที่เกี่ยวข้อง ได้แก่ การอภิปรายใหม่เกี่ยวกับช่องโหว่ การประกาศที่เกี่ยวข้องกับความปลอดภัยของผู้จำหน่าย วิธีการโจมตี และวิธีการแก้ไข เป็นรายชื่ออีเมลที่มีปริมาณมาก โดยมีโพสต์มากถึง 776 โพสต์ในหนึ่งเดือน^{[ 1 ]}และช่องโหว่ด้านความปลอดภัยใหม่เกือบทั้งหมดได้รับการพูดคุยในรายชื่อนี้ในช่วงแรกๆ ฟอรัมนี้เป็นช่องทางให้ทุกคนสามารถเปิดเผยและพูดคุยเกี่ยวกับช่องโหว่ของคอมพิวเตอร์ได้ รวมถึงนักวิจัยด้านความปลอดภัยและผู้จำหน่ายผลิตภัณฑ์ แม้ว่าบริการนี้จะยังไม่ถูกยุติอย่างเป็นทางการ และคลังข้อมูลยังคงสามารถเข้าถึงได้โดยสาธารณะ แต่ก็ไม่มีการโพสต์ใหม่ตั้งแต่เดือนมกราคม 2021

Bugtraq ถูกสร้างขึ้นเมื่อวันที่ 5 พฤศจิกายน พ.ศ. 2536 โดย Scott Chasin ^{[ 2 ]}เพื่อตอบสนองต่อความล้มเหลวที่รับรู้ได้ของ โครงสร้างพื้นฐานด้านความปลอดภัย อินเทอร์เน็ต ที่มีอยู่ ณ ขณะนั้น โดยเฉพาะอย่างยิ่งCERTนโยบายของ Bugtraq คือการเผยแพร่ช่องโหว่ โดยไม่คำนึงถึงการตอบสนองของผู้จำหน่าย ซึ่งเป็นส่วนหนึ่งของ การเคลื่อนไหวการเปิดเผยช่องโหว่ อย่างเต็มรูปแบบ บางครั้งรายชื่อนี้สะกดว่า BugTraq แต่การใช้งานทั่วไปตลอดหลายปีที่ผ่านมาเรียกว่า Bugtraq มีผู้สมัครสมาชิกเพิ่มขึ้นเป็น 2,500 รายภายในวันที่ 19 พฤษภาคม พ.ศ. 2538 ^{[ 3 ]}และมากกว่า 40,000 รายภายในเดือนกุมภาพันธ์ พ.ศ. 2543 ^{[ 4 ]}

Elias Levyซึ่งเป็นที่รู้จักในนาม Aleph One (โดยอ้างอิงถึงเลขจำนวนนับAleph One ) กล่าวในการสัมภาษณ์ว่า "สภาพแวดล้อมในเวลานั้นเป็นเช่นนั้นที่ผู้ขายไม่ได้ทำการแก้ไขใดๆ ดังนั้นจึงต้องมุ่งเน้นไปที่วิธีการแก้ไขซอฟต์แวร์ที่บริษัทต่างๆ ไม่ได้แก้ไข" Levy พิจารณาว่าแนวคิดของการแยก Bugtraq ออกเป็นส่วนๆ นั้นขึ้นอยู่กับแพลตฟอร์ม เพื่อลดข้อมูลที่ไม่เกี่ยวข้องสำหรับผู้ที่สนใจเฉพาะระบบปฏิบัติการ บาง ระบบ เท่านั้น ^{[ 5 ] [ 6 ]}

เดิมที Bugtraq ถูกโฮสต์อยู่ที่ Crimelab.com ซึ่งบริหารงานโดย Scott Chasin ต่อมาได้ย้ายไปยังโครงการ NetSpace ของมหาวิทยาลัยบราวน์ —ซึ่งต่อมาได้เปลี่ยนชื่อเป็น NetSpace Foundation—เมื่อวันที่ 5 มิถุนายน 1995 ซึ่งเป็นวันเดียวกับที่เริ่มมีการควบคุมดูแล ในเดือนกรกฎาคม 1999 Bugtraq ได้กลายเป็นทรัพย์สินของSecurityFocusและถูกย้ายไปที่นั่น^{[ 7 ] [ 8 ]} SecurityFocus ถูกซื้อกิจการทั้งหมดโดย Symantec เมื่อวันที่ 6 สิงหาคม 2002 ^{[ 9 ]}ณ วันที่ 25 กุมภาพันธ์ 2020 การรับส่งข้อมูลจากรายชื่อดังกล่าวหยุดลงโดยไม่มีคำอธิบาย^{[ 10 ]}ในปี 2002 รายชื่อผู้รับจดหมาย Full-Disclosureถูกสร้างขึ้นเนื่องจากหลายคนรู้สึกว่ารายชื่อดังกล่าว "เปลี่ยนไปในทางที่แย่ลง" ^{[ 11 ]}

เมื่อวันที่ 30 เมษายน 2563 Accenture Securityได้ดำเนินการเข้าซื้อกิจการบริการด้านความปลอดภัยทางไซเบอร์ของ Symantec รวมถึงSecurityFocusซึ่งรวมถึง Bugtraq ด้วย^{[ 12 ]}

เดิมทีรายชื่อผู้รับจดหมายไม่มีการควบคุมดูแล จากนั้นจึงได้รับการควบคุมดูแลเป็นครั้งคราว ซึ่งผู้เข้าร่วมหลายคนมองว่าไม่เพียงพอ ในเหตุการณ์หนึ่ง มีการอนุญาตให้โพสต์ข้อมูลบัตรเครดิตที่ดูเหมือนจะมีความละเอียดอ่อน^{[ 13 ]}โพสต์ต่อมาได้ท้าทายหลายแง่มุมของรายชื่อผู้รับจดหมาย รวมถึงการเปิดเผยช่องโหว่ทั้งหมด และแนะนำให้ปล่อยไว้โดยไม่มีการควบคุมดูแล หรือให้ผู้ดูแลเปลี่ยนวิธีการดำเนินการ^{[ 14 ]}

การดูแลจัดการเริ่มขึ้นเมื่อวันที่ 5 มิถุนายน พ.ศ. 2538 Elias Levyดูแลจัดการรายชื่อตั้งแต่วันที่ 14 มิถุนายน พ.ศ. 2539 จนกระทั่งเขาลาออกในวันที่ 15 ตุลาคม พ.ศ. 2544 David Mirza Ahmad หนึ่งในผู้เขียนร่วมหลายคนของHack Proofing Your Network, Second Editionได้รับช่วงต่อจาก Levy และดำเนินการต่อจนกระทั่งเขาลาออกในวันที่ 23 กุมภาพันธ์ พ.ศ. 2549 ^{[ 15 ]} David McKinney นักวิเคราะห์ภัยคุกคาม DeepSightที่Symantecได้รับช่วงต่อจาก Ahmad ปัจจุบันหน้าที่การดูแลจัดการได้ถูกส่งต่อให้กับ Prasanna นักวิเคราะห์ DeepSight อีกคนหนึ่ง^{[ 16 ]}

ในระหว่างดำรงตำแหน่ง อาหมัดเสนอให้รายการนำ "การมีส่วนร่วมของชุมชน" มาใช้มากขึ้น และ "กระบวนการที่เป็นประชาธิปไตยมากขึ้นในการตัดสินใจที่สำคัญเกี่ยวกับอนาคตของ Bugtraq และเว็บไซต์ Security Focus" ^{[ 17 ]}แม้จะได้รับข้อเสนอแนะตามที่อัลเฟรด ฮูเกอร์กล่าว^{[ 18 ]}การมีส่วนร่วมของชุมชนเพิ่มเติมก็ไม่ได้ปรากฏให้เห็น

ความล่าช้าในการตรวจสอบรายชื่อเกิดขึ้นหลายครั้ง บางครั้งเนื่องจากปัญหาทางเทคนิค^{[ 19 ]}และ การ โจมตีDDoS ^{[ 3 ]}ในบางครั้ง โพสต์ในรายชื่อหายไปเนื่องจาก "ปัญหาอีเมล" ที่ไม่ระบุ^{[ 20 ]}ในเดือนสิงหาคม พ.ศ. 2540 รายชื่อเงียบไปหลายวันเนื่องจาก Aleph One ไปพักผ่อนและบุคคลที่ได้รับมอบหมายให้ตรวจสอบล้มเหลวในการทำหน้าที่^{[ 21 ]}หลังจากที่รายชื่อถูกโอนไปยัง SecurityFocus และ Symantec เข้าซื้อกิจการ นักวิจัยบางคนสังเกตเห็นว่าโพสต์ของพวกเขาในรายชื่อล่าช้า เนื่องจากไม่มีการตรวจสอบในวันหยุดสุดสัปดาห์อีกต่อไป แม้จะมีความล่าช้า ข้อมูลช่องโหว่จากโพสต์เหล่านั้นบางส่วนก็ถูกนำไปใช้ในผลิตภัณฑ์เชิงพาณิชย์ DeepSight ของ Symantec ซึ่งรวมถึง ฐาน ข้อมูลช่องโหว่^{[ 22 ]}

ในช่วงปลายปี พ.ศ. 2543 เมื่อเลวีโพสต์เนื้อหาทั้งหมดของคำแนะนำด้านความปลอดภัยของไมโครซอฟต์ลงในรายการ ไมโครซอฟต์ได้ร้องเรียนว่าเป็นการละเมิดลิขสิทธิ์^{[ 23 ]}

เมื่อวันที่ 24 กุมภาพันธ์ 2020 Symantec ได้หยุดอนุมัติโพสต์ไปยัง Bugtraq ^{[ 24 ]}ไม่มีข้อความสุดท้ายจากผู้ดูแลระบบรายชื่อและไม่มีคำแถลงใด ๆ จาก Symantec โพสต์ เหตุการณ์นี้เกิดขึ้นหลังจากฐานข้อมูลช่องโหว่ BIDที่ Symantec ดูแลหยุดการอัปเดตสาธารณะเมื่อวันที่ 26 กรกฎาคม 2019 เพียงหนึ่งเดือนกว่า ๆ ก่อนที่Broadcom จะเข้าซื้อ กิจการ^{[ 25 ]}เมื่อวันที่ 1 มกราคม 2021 Accenture ประกาศว่า Bugtraq จะถูกปิดตัวลง^{[ 26 ]}เมื่อวันที่ 15 มกราคม 2021 อีเมลฉบับสุดท้ายถูกส่งไปยังรายชื่อเพื่อยืนยันว่ากำลังถูกปิดตัวลง โดยอ้างว่า " ทรัพยากรสำหรับรายชื่อผู้รับจดหมาย BugTraq ไม่ได้รับการจัดลำดับความสำคัญ " ^{[ 27 ]}อย่างไรก็ตาม การตัดสินใจดังกล่าวได้รับการพิจารณาใหม่โดยอิงจากข้อเสนอแนะจากชุมชน และในวันที่ 17 มกราคม 2021 Accenture ได้โพสต์ข้อความลงในรายชื่อผู้รับจดหมายเพื่อประกาศการดำเนินการต่อของ Bugtraq ^{[ 28 ]}และตามด้วยบล็อกที่ยาวขึ้นเพื่ออธิบายเป้าหมายของพวกเขา^{[ 29 ]}การประกาศดำเนินการต่อเป็นข้อความสุดท้ายที่เผยแพร่ไปยังรายชื่อผู้รับจดหมาย และไม่มีกิจกรรมเพิ่มเติมใด ๆ ที่บันทึกไว้ในคลังข้อมูลสาธารณะ

• SecurityFocus - รายชื่อผู้รับจดหมาย (Bugtraq เป็นรายชื่อผู้รับจดหมายอันดับแรกภายใต้หัวข้อ "ยอดนิยม")
• BUGTRAQ - เครื่องมือติดตามช่องโหว่ (เครื่องมือติดตามช่องโหว่ระดับมืออาชีพตัวแรก)