【编者按:把所有的安全漏洞补上还是置之不理?这是一件很有趣的事情,对于这些软件的供给商更是一个应该深入考虑的问题。】
把漏洞补上还是置之不理?这是一位读者提出的有趣观点。
上周的栏目中,我主张软件供给商们应当修正所有的安全漏洞。一位读者随后写信给我阐述了他的有趣观点,使我稍稍有些动摇,当然我还是坚持自己的立场,认为软件供给商应当修正所有的安全漏洞的,无论公众是否眼球这个漏洞。要害就在于我们修正现存的这些漏洞能够提高产品性能,保护消费者的利益。听起来很了不起,不是吗?
那个读者在信中说到他所在的公司经常对安全漏洞置之不理,直到人们公开报道了这些BUG或者等到至少有个一个客户抱怨这个BUG,他们才会处理它。你先别急着对这条政策进行抨击,听听他接下来是怎么说的。
“我们公司投入很大精力在处理安全问题上,”该读者说。“我们给程序员培训,让他们保证编码的保密性,并且我们也遵循最基本的安全程序设计和治理原则。一旦有人报告了一些BUG,我们就修复它。我们会修复那些高危险性或者可能被广泛利用的重大安全漏洞。但是,假如我们内部人员找到了低级或者中级威胁的安全漏洞,我们通常先把它放在一边,直到有人公开报道它,我们再处理。我们会研究这个BUG,赶制临时解决方案,但公司不会提供相应的补丁。”
他继续说,“我们不去修复那些不严重的、由内部发现的安全BUG,我们这么做的原因有5点。首先,从整体的角度来说,我们宁愿花更多的精力来解决高风险的BUG,无论公众是否知道它的存在。流程中的每一个中等或者低危险性的安全BUG都会极大地阻碍整个进程的速度。我们的资源是固定的,不像微软那样拥有无限的预算。”
(注重:微软在安全方面的预算也不是没有限制的。——作者)
“第二,我们第二优先处理的是那些已经被报导了的BUG。我们会评估公众发现的BUG,并估算我们解决这些BUG所需要的时间。你可以看看Secunia.com,他们报道了软件供给商们修复已知漏洞的速度。人们会不断查询那里的信息,而另一些人则是为了看看我们在速度竞赛中排第几。高级治理层当然会关心媒体是如何评价我们的。然而,没有人知道内部发现的那些BUG,治理层也不知道。假如把精力集中到别的事情上,那么我们一定会疯了的。”
“第三,外面的黑客们通常都是通过检查我们应用到软件上的补丁,从而发现额外的BUG的。你可以看看我们的漏洞统计。大多数的漏洞都围绕2个主要特性而产生的。我们发布那些用来修复内部发现的漏洞补丁后,黑客们就据此开始注重这两个特性。在两个随后的案例中我们,都指明了漏洞代码的位置,并给它打了补丁。一个月之内,黑客们就发现了另外3个相关的漏洞。这里我们承认,我们在解决这些属性的所有错误方面做得还不够好。在最后一轮的修复中,我们用更全面的分析和代码检查方法来调查每个特性。我们甚至从外面雇了渗透测试小组来进行这项工作。于是,我们发现了更多漏洞,然后给程序打了补丁。然而,6个月后,黑客们利用同一特性又劫持了我们的软件。人们大力地批评我们的产品,也有人提出更好的解决方案,但这些都不能改变一个事实:假如我们把最初的漏洞放着不管,就可以避免另3个额外的、被公众广泛讨论的漏洞。”
“第四点,所有公开了的漏洞都会加速我们与黑客之间的竞争,像反病毒战争一样。防毒软件供给商不断检测出新病毒,而病毒制造者则制造出更强的病毒。假如从来就没有防毒软件的话,我们很可能根本不会碰到今天所面对的那些蠕虫和僵尸伎俩。一旦我们比正常情况更快地为程序打补丁,那么这只会让黑客们更快、更努力地寻找漏洞。我们需要面对世界上无数的黑客,并且每次修复漏洞都会拖后新产品的开发并且花费支出。为什么我们要挑起更高一级的战争呢?黑客们发现漏洞时,假如我们保持沉默,那么战争就会慢慢放缓,我们的用户也会逐渐赢得胜利。”
评论加载中…
 |