Видео: Настя и сборник весёлых историй (Септември 2024)
SAN FRANCISCO - Панел на конференцията на RSA за двама души се справи с провокативен въпрос: Дали сигурността на софтуера е загуба на време за повечето компании?
Никой не предполагаше, че компаниите трябва да игнорират грешки в своите продукти, но въпросът беше повече как и кога трябва да възникнат корекции.
Microsoft, Adobe и няколко други компании се застъпват за сигурен жизнен цикъл на разработка на софтуер, при който проблемите със сигурността се решават във всички фази на развитие. Все още има много компании, които вярват, че времето и парите, изразходвани за тези инициативи за сигурност на софтуера, биха могли да бъдат използвани другаде и е по-интересното им просто да отстраняват грешки след доставката на продукти.
От една страна, има компании като Adobe, които трябва да се справят с извършени нападатели, които имат намерение да използват уязвимости в софтуера. „Експлоатация, която работи срещу Reader или Flash, излага на риск повече от милиард компютри“, заяви Брад Аркин на панела. "Цената за извличането на тези поправки е толкова висока, че трябва да инвестираме всичко възможно, за да отстраним тези проблеми, преди да изпратим", каза той.
А от другата страна, има компании, които никога няма да видят възвръщаемост на инвестициите в реализирането на инициативи за сигурна разработка на софтуер, според панелиста Джон Viega, изпълнителен вицепрезидент на SilverSky, по-рано Perimeter E-Security. "За повечето компании това ще бъде далеч по-евтино и ще обслужва клиентите си много по-добре, ако не направят нищо, докато нещо не се случи. По-добре е да изчакате пазара да оказва натиск върху вас, за да го направите", каза Вига.
Много скъпо
Viega не беше просто против и не беше съгласен с Arkin на Adobe. Преди той е работил по сигурността на продуктите в McAfee и „доколкото можехме да измерим, това беше абсолютна загуба на пари“, каза той.
Например, за една година McAfee имаше три публично оповестени пропуски в сигурността, които струват по-малко от 50 000 долара за справяне, каза Viega. Фигурата включваше всички комуникации и време, необходимо за разработване и тестване на корекцията. За разлика от това, цялостна програма за софтуерна сигурност, струва на компанията милиони долари на преки разходи и още повече на косвени разходи, като загуба на производителност, каза той. Доколкото можеше да каже, компанията "направи работата на лошия човек малко по-скъпа", но не достатъчно, за да оправдае разходите.
"Има цял клас компании, в които няма смисъл да се прави нищо", каза Виега.
Въпреки че сигурността е важна, тя не трябва да е движещата сила, предложи Вига. Той сравнява ситуацията с автомобилната индустрия. Ако безопасността беше „най-важното“, тогава „щяхме да имаме автомобили, които не вървят повече от 5 мили в час“, каза той. Разглеждайки икономическите разходи, помогнете да разберете къде трябва да бъдат компромиси.
За Adobe чакането наоколо е твърде скъпо, така че те гарантират, че сигурността на софтуера е основна част от процеса на разработване на продукта, от концепция, дизайн, кодиране, тестване и внедряване. Компанията провежда обширно обучение за сигурност за всички свои инженери, независимо от нивото на умения и опит, за да гарантира, че всички гледат на сигурността по унифициран начин.
Поправяне на всяка малка грешка
Аркин внимаваше да отбележи, че докато компанията прекарваше значително време и ресурси за намиране и коригиране на уязвимости по време на процеса на разработка, целта не беше да отпечатва всяка една възможна грешка. По-доброто използване на енергията и парите на екипа за справяне с категории грешки, каза той.
"Ако поправяте всяка малка грешка, вие губите времето, което бихте могли да използвате, за да смекчите цели класове бъгове", каза той.
Обикновено клиентите нямат начин да разберат коя фирма е кораб - тя или фирма за поправяне, каза Viega. Купувачите не са достатъчно интелигентни и не винаги мислят за сигурността на приложението, когато оценяват покупките си, каза той. "Хей, хората все още използват Adobe", каза Вига.
Може ли да има някакъв стандарт, който да каже дали даден софтуер е продукт „поправете го“ или не? Viega не изключи възможността, отбелязвайки, че дори на бутилка вода има етикет с хранителна информация.
