“第五,假如BUG没有被公布的话,黑客不会攻击它。即使有人知道了一个公众不知道的BUG,也只是很小一部分的黑客了解情况,大部分的用户还是安全的。他们能造成的危害是非常有限的。你在前一篇文章中也说过同样的问题。一旦大众都知道了这个漏洞,我们的产品就面临数千黑客和数种蠕虫的攻击威胁。大多数客户安了我们的补丁之后,就没有危险了,但是由于种种原因,很多用户从来也不打补丁,或者直到他们的系统被劫持或者受到了损失,给我们打了电话后才知道要打补丁。”
“行业的一些权威评论家,比如您,总是说为了用户的利益,软件供给商应当给所有已知的安全漏洞打上补丁,但是我以我的25年的业内经验来看,我觉得并不是这么一回事。事实上,我认为事情恰恰相反。你回复前,我并没有接触到反对您的观点的正式研究内容。在你给我一份研究论文之前,你的所有观点都是你个人的意见。总之,一旦某个BUG被公布了,或者属于高危险的,我们会修复它。我们之所以能很快修复这些BUG,那是因为我们早就知道该BUG的存在,早已写好解决方案并测试好了。”
刚读这篇文章的时候,我认为文中有太多的事实错误,根本读不下去。但是第二遍读的时候,我意识到他的一些观点还是有一定道理的。就像SANs的Stephen Northcutt教过我的,“取其精华,去其糟粕。我们也应当这样对待这位读者的观点。”(责任编辑:李磊)
=============================================
原文作者:Roger A. Grimes
原文来源:Infoworld
参考文章: 《Should vendors close all security holes? 》
评论加载中…
 |