|
如果你是Microsoft����、Adobe或任意其它主要的商業(yè)軟件廠商�,千萬(wàn)不要給大陸航空公司的首席信息安全官Tim Stanley添堵,他不是被大量急需修復(fù)的bug纏身就是缺乏應(yīng)對(duì)那些問(wèn)題的資源�����。
“不要告訴我你下決心修復(fù)漏洞的痛苦�,我不關(guān)心這些。你本身就是干軟件行業(yè)的��,那些代碼是你寫出來(lái)的��,出現(xiàn)的問(wèn)題也應(yīng)該由你來(lái)解決���。如果你不能處理好,就不要在那行混飯吃�����。”
Metasploit的創(chuàng)建者HD Moore在開場(chǎng)白中談到了從發(fā)現(xiàn)bug到補(bǔ)丁發(fā)布的時(shí)間跨度����,微軟的高級(jí)安全戰(zhàn)略家Katie Moussouris認(rèn)為廠商和研究人員之間保持持續(xù)的溝通非常重要。Stanley代表了廣大的用戶�,他們是漏洞披露辯論中常常被忽視的群體。通常這些辯論會(huì)的觀點(diǎn)都出自研究人員或廠商,但此次2010 RSA大會(huì)的小組討論中Stanley站上了發(fā)言臺(tái)�,他是Microsoft和Adobe的一位大客戶。Stanley并沒(méi)有將太多時(shí)間浪費(fèi)在發(fā)牢騷上�����,他敏銳地抨擊了一些廠商和研究人員的開場(chǎng)白內(nèi)容����。
“我很欣賞廠商和研究人員之間的友好溝通,但坦白來(lái)說(shuō)����,我很不滿意他們的做法。我是用戶���,產(chǎn)品的費(fèi)用是由我來(lái)支付的���,我有理由要求漏洞在第一時(shí)間內(nèi)被修復(fù)好。我煩透了各層關(guān)系帶來(lái)的延時(shí)����。微軟知道了某個(gè)bug,研究人員知道了這個(gè)bug�����,而我是這一軟件的最終付費(fèi)者。什么時(shí)候才輪到我弄清楚問(wèn)題呢����?”
Stanley說(shuō):“現(xiàn)在的問(wèn)題出在人們支付了產(chǎn)品的費(fèi)用,他們需要了解進(jìn)展的具體情況���。”
Stanley引發(fā)的這一論調(diào)旗幟鮮明����,不屬于以往的任何常規(guī)討論主題:廠商分類和bug補(bǔ)丁修復(fù)的優(yōu)先次序���,零日漏洞如何影響補(bǔ)丁周期�,以及回歸測(cè)試和補(bǔ)丁的穩(wěn)定性����。
例如���,Moore稱漏洞披露問(wèn)責(zé)有誤——責(zé)任在廠商�����。研究人員受惠于廠商����,他們會(huì)將bug通告給廠商,再由廠商決定這一發(fā)現(xiàn)何時(shí)公開����。“如果你有證據(jù)證明外界已發(fā)生相應(yīng)的漏洞攻擊,而廠商還沒(méi)有發(fā)布補(bǔ)丁來(lái)進(jìn)行修復(fù)���,這種情況下是廠商還是你不負(fù)責(zé)任沒(méi)有上報(bào)呢���?”
Adobe的產(chǎn)品安全和隱私主管Brad Arkin稱,外界發(fā)出的有關(guān)其Flash and Reader產(chǎn)品的bug會(huì)被列入較高的優(yōu)先級(jí)��。Arkin說(shuō)他的團(tuán)隊(duì)會(huì)首先試圖再現(xiàn)問(wèn)題情況���,并基于問(wèn)題細(xì)節(jié)公開的程度確定它給用戶帶來(lái)的風(fēng)險(xiǎn)級(jí)別�����。
Arkin說(shuō):“如果漏洞的詳情已完全公開�,補(bǔ)丁修復(fù)就要以更快的速度完成��。我們會(huì)努力將漏洞范圍縮小,但這種情況下的成本會(huì)更高�����。我們隨后會(huì)修復(fù)其他的bug��。”
Katie Moussouris稱微軟采取的也是類似的方式����。
“當(dāng)研究人員報(bào)告某一漏洞時(shí),我們并不一定會(huì)調(diào)動(dòng)所有資源來(lái)應(yīng)對(duì)這一漏洞��。舉個(gè)例子��,如果外界發(fā)現(xiàn)微軟出現(xiàn)了嚴(yán)重漏洞��,但我們之前發(fā)現(xiàn)的內(nèi)部漏洞有可能比這一漏洞的優(yōu)先級(jí)更高�,更容易被攻擊。廠商需要向研究人員表示其正在解決他們提出的問(wèn)題���,但發(fā)現(xiàn)了一些回歸測(cè)試或變種���,需要優(yōu)先處理其他一些問(wèn)題��。”
微軟的安全開發(fā)生命周期(SDL)在很多方面已成為將安全引進(jìn)軟件設(shè)計(jì)和測(cè)試的行業(yè)標(biāo)準(zhǔn)。Windows安全已收緊了操作系統(tǒng)的連續(xù)迭代�����,而且其例行補(bǔ)丁發(fā)布已簡(jiǎn)化了全球IT部門規(guī)劃�。Moussouris說(shuō),微軟過(guò)去那段基本上將QA測(cè)試外包給客戶的安全更新歷程已一去不復(fù)返了��。
Moussouris對(duì)Stanley說(shuō):“有些更新一次又一次地發(fā)布出來(lái)是因?yàn)樗鼈兇蚱屏斯餐陌惭b環(huán)境��,你不關(guān)心可能由此引發(fā)的資源分配難點(diǎn)����,但我可以肯定你會(huì)關(guān)心你系統(tǒng)的穩(wěn)定性。”
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商��!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
