软件供应商们是否应修正所有的安全漏

2008-04-05 00:19:22  作者:w3zz收集整理  来源:互联网  浏览次数:20  文字大小:[ ]

【编者按:把所有的安全漏洞补上还是置之不理?这是一件很有趣的事情,对于这些软件的供应商更是一个应该深入考虑的问题。】

把漏洞补上还是置之不理?这是一位读者提出的有趣观点。

上周的栏目中,我主张软件供应商们应当修正所有的安全漏洞。一位读者随后写信给我阐述了他的有趣观点,使我稍稍有些动摇,当然我还是坚持自己的立场,认为软件供应商应当修正所有的安全漏洞的,无论公众是否关注这个漏洞。关键就在于我们修正现存的这些漏洞能够提高产品性能,保护消费者的利益。听起来很了不起,不是吗?

那个读者在信中说到他所在的公司经常对安全漏洞置之不理,直到人们公开报道了这些BUG或者等到至少有个一个客户抱怨这个BUG,他们才会处理它。你先别急着对这条政策进行抨击,听听他接下来是怎么说的。

“我们公司投入很大精力在处理安全问题上,”该读者说。“我们给程序员培训,让他们保证编码的保密性,并且我们也遵循最基本的安全程序设计和管理原则。一旦有人报告了一些BUG,我们就修复它。我们会修复那些高危险性或者可能被广泛利用的重大安全漏洞。但是,如果我们内部人员找到了低级或者中级威胁的安全漏洞,我们通常先把它放在一边,直到有人公开报道它,我们再处理。我们会研究这个BUG,赶制临时解决方案,但公司不会提供相应的补丁。”

他继续说,“我们不去修复那些不严重的、由内部发现的安全BUG,我们这么做的原因有5点。首先,从整体的角度来说,我们宁愿花更多的精力来解决高风险的BUG,无论公众是否知道它的存在。流程中的每一个中等或者低危险性的安全BUG都会极大地阻碍整个进程的速度。我们的资源是固定的,不像微软那样拥有无限的预算。”

(注意:微软在安全方面的预算也不是没有限制的。——作者)

“第二,我们第二优先处理的是那些已经被报导了的BUG。我们会评估公众发现的BUG,并估算我们解决这些BUG所需要的时间。你可以看看Secunia.com,他们报道了软件供应商们修复已知漏洞的速度。人们会不断查询那里的信息,而另一些人则是为了看看我们在速度竞赛中排第几。高级管理层当然会关心媒体是如何评价我们的。然而,没有人知道内部发现的那些BUG,管理层也不知道。如果把精力集中到别的事情上,那么我们一定会疯了的。”

“第三,外面的黑客们通常都是通过检查我们应用到软件上的补丁,从而发现额外的BUG的。你可以看看我们的漏洞统计。大多数的漏洞都围绕2个主要特性而产生的。我们发布那些用来修复内部发现的漏洞补丁后,黑客们就据此开始注意这两个特性。在两个随后的案例中我们,都指明了漏洞代码的位置,并给它打了补丁。一个月之内,黑客们就发现了另外3个相关的漏洞。这里我们承认,我们在解决这些属性的所有错误方面做得还不够好。在最后一轮的修复中,我们用更全面的分析和代码检查方法来调查每个特性。我们甚至从外面雇了渗透测试小组来进行这项工作。于是,我们发现了更多漏洞,然后给程序打了补丁。然而,6个月后,黑客们利用同一特性又劫持了我们的软件。人们大力地批评我们的产品,也有人提出更好的解决方案,但这些都不能改变一个事实:如果我们把最初的漏洞放着不管,就可以避免另3个额外的、被公众广泛讨论的漏洞。”

“第四点,所有公开了的漏洞都会加速我们与黑客之间的竞争,像反病毒战争一样。防毒软件供应商不断检测出新病毒,而病毒制造者则制造出更强的病毒。如果从来就没有防毒软件的话,我们很可能根本不会遇到今天所面对的那些蠕虫和僵尸伎俩。一旦我们比正常情况更快地为程序打补丁,那么这只会让黑客们更快、更努力地寻找漏洞。我们需要面对世界上无数的黑客,并且每次修复漏洞都会拖后新产品的开发并且花费支出。为什么我们要挑起更高一级的战争呢?黑客们发现漏洞时,如果我们保持沉默,那么战争就会慢慢放缓,我们的用户也会逐渐赢得胜利。”

“第五,如果BUG没有被公布的话,黑客不会攻击它。即使有人知道了一个公众不知道的BUG,也只是很小一部分的黑客了解情况,大部分的用户还是安全的。他们能造成的危害是非常有限的。你在前一篇文章中也说过同样的问题。一旦大众都知道了这个漏洞,我们的产品就面临数千黑客和数种蠕虫的攻击威胁。大多数客户安了我们的补丁之后,就没有危险了,但是由于种种原因,很多用户从来也不打补丁,或者直到他们的系统被劫持或者受到了损失,给我们打了电话后才知道要打补丁。”

“行业的一些权威评论家,比如您,总是说为了用户的利益,软件供应商应当给所有已知的安全漏洞打上补丁,但是我以我的25年的业内经验来看,我觉得并不是这么一回事。事实上,我认为事情恰恰相反。你回复前,我并没有接触到反对您的观点的正式研究内容。在你给我一份研究论文之前,你的所有观点都是你个人的意见。总之,一旦某个BUG被公布了,或者属于高危险的,我们会修复它。我们之所以能很快修复这些BUG,那是因为我们早就知道该BUG的存在,早已写好解决方案并测试好了。”

刚读这篇文章的时候,我认为文中有太多的事实错误,根本读不下去。但是第二遍读的时候,我意识到他的一些观点还是有一定道理的。就像SANs的Stephen Northcutt教过我的,“取其精华,去其糟粕。我们也应当这样对待这位读者的观点。”(责任编辑:李磊)

=============================================

原文作者:Roger A. Grimes

原文来源:Infoworld

参考文章: 《Should vendors close all security holes? 》

0

顶一下

w3站长

首页
责任编辑:酥大轩
今日DIGG排行