企业信息安全面临“云挑战”

来源: 51cto
2010/3/9 18:26:10
如果你是Microsoft、Adobe或任意其它主要的商业软件厂商,千万不要给大陆航空公司的首席信息安全官Tim Stanley添堵,他不是被大量急需修复的bug缠身就是缺乏应对那些问题的资源。

分享到: 新浪微博 腾讯微博
本文关键字: 云挑战

如果你是Microsoft、Adobe或任意其它主要的商业软件厂商,千万不要给大陆航空公司的首席信息安全官Tim Stanley添堵,他不是被大量急需修复的bug缠身就是缺乏应对那些问题的资源。

“不要告诉我你下决心修复漏洞的痛苦,我不关心这些。你本身就是干软件行业的,那些代码是你写出来的,出现的问题也应该由你来解决。如果你不能处理好,就不要在那行混饭吃。”

Metasploit的创建者HD Moore在开场白中谈到了从发现bug到补丁发布的时间跨度,微软的高级安全战略家Katie Moussouris认为厂商和研究人员之间保持持续的沟通非常重要。Stanley代表了广大的用户,他们是漏洞披露辩论中常常被忽视的群体。通常这些辩论会的观点都出自研究人员或厂商,但此次2010 RSA大会的小组讨论中Stanley站上了发言台,他是Microsoft和Adobe的一位大客户。Stanley并没有将太多时间浪费在发牢骚上,他敏锐地抨击了一些厂商和研究人员的开场白内容。

“我很欣赏厂商和研究人员之间的友好沟通,但坦白来说,我很不满意他们的做法。我是用户,产品的费用是由我来支付的,我有理由要求漏洞在第一时间内被修复好。我烦透了各层关系带来的延时。微软知道了某个bug,研究人员知道了这个bug,而我是这一软件的最终付费者。什么时候才轮到我弄清楚问题呢?”

Stanley说:“现在的问题出在人们支付了产品的费用,他们需要了解进展的具体情况。”

Stanley引发的这一论调旗帜鲜明,不属于以往的任何常规讨论主题:厂商分类和bug补丁修复的优先次序,零日漏洞如何影响补丁周期,以及回归测试和补丁的稳定性。

例如,Moore称漏洞披露问责有误——责任在厂商。研究人员受惠于厂商,他们会将bug通告给厂商,再由厂商决定这一发现何时公开。“如果你有证据证明外界已发生相应的漏洞攻击,而厂商还没有发布补丁来进行修复,这种情况下是厂商还是你不负责任没有上报呢?”

Adobe的产品安全和隐私主管Brad Arkin称,外界发出的有关其Flash and Reader产品的bug会被列入较高的优先级。Arkin说他的团队会首先试图再现问题情况,并基于问题细节公开的程度确定它给用户带来的风险级别。

Arkin说:“如果漏洞的详情已完全公开,补丁修复就要以更快的速度完成。我们会努力将漏洞范围缩小,但这种情况下的成本会更高。我们随后会修复其他的bug。”

Katie Moussouris称微软采取的也是类似的方式。

“当研究人员报告某一漏洞时,我们并不一定会调动所有资源来应对这一漏洞。举个例子,如果外界发现微软出现了严重漏洞,但我们之前发现的内部漏洞有可能比这一漏洞的优先级更高,更容易被攻击。厂商需要向研究人员表示其正在解决他们提出的问题,但发现了一些回归测试或变种,需要优先处理其他一些问题。”

微软的安全开发生命周期(SDL)在很多方面已成为将安全引进软件设计和测试的行业标准。Windows安全已收紧了操作系统的连续迭代,而且其例行补丁发布已简化了全球IT部门规划。Moussouris说,微软过去那段基本上将QA测试外包给客户的安全更新历程已一去不复返了。

Moussouris对Stanley说:“有些更新一次又一次地发布出来是因为它们打破了共同的安装环境,你不关心可能由此引发的资源分配难点,但我可以肯定你会关心你系统的稳定性。”

责编:王立新
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
进口鲜 玩转海鲜O2O

上海进鲜实业成立于2014年12月30日,其创办的O2O平台“进口鲜”专注于为消费者提供高品质的海鲜产品。在短短一年不..

首届优秀信息化产品及信息化最佳实..

.mod_B_1{background:rgba(0, 0, 0, 0) url("//www.iqiam.com/bacohome/2015/cio..

    专家专栏
    李浩实现与PLM协同工作的三维零部件数据资源平..

    目前国内外不少企业和研究单位在建设完成以三维CAD、PDM系统为核心的产品研发平台建设后,将目光投向零部件数据资..

    AMT咨询浅析集团型企业的信息化商业价值

    国内管理咨询公司AMT信息化建设专家提出下几点关于集团型企业信息化商业价值“营销”推进的方式

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map