【TechTarget中国原创】Window Snyder曾是微软的一位高级安全战略家,于2005年离开微软,成为Matasano安全公司的创始人和首席技术官。她现在是Mozilla公司的安全主管,主要负责流行的火狐浏览器和其它计划。Snyder在接受TechTarget的访谈中认为,微软以努力研制速度更快和更准确的补丁程序而著称。她承认,虽然Mozilla有时候也会推迟安全更新。但是,Mozilla将总是领先一步,因为巨大的开源软件社区将每天24小时帮助该公司发现和修复问题。
你在来到Mozilla之前曾经在微软工作。谈一谈你为什么离开微软?
Window Snyder: 实际上我离开微软是到我的几个朋友建立的一家新兴企业,位于纽约的Matasano安全公司。我是从那里去Mozilla公司的,因为这是影响用户真正的互联网体验和设法尽可能保护用户安全的一个真正的机会。
你现在显然是忠诚于Mozilla公司的。但是,你认为,微软在制作安全补丁方面是更快和更好吗?
Snyder: 我从来不怀疑微软做的事情。我在微软的时候总是为微软做出的改变感到骄傲。他们做了非常困难的工作,他们对依赖互联网浏览器的庞大的套装软件测试他们做出的改变,他们还测试许多家庭用户看不到的用于内部应用程序的控件。在我们方面,我们有一个庞大的社区帮助我们在很短的时间里测试所有不同的设置。从这个角度说,Mozilla也许比拥有全部金融资源的微软拥有更多的测试资源。这是我们能够更快地发布补丁的原因之一,因为我们能够在很短的时间里进行更广泛的测试。
微软有内部团队的研究人员研究这些问题。Mozilla在这方面拥有整个开源软件社区。
Snyder: 确实如此。Mozilla用有庞大的开源软件社区的好处。这个社区帮助我们测试我们晚上制作的程序。每天晚上大约有1万人下载和测试我们的程序。这样数量庞大的人员研究安全补丁和新版本的浏览器,在不同的平台上以不同的组合对这些程序进行测试。这是我们的工作流程与微软的工作流程的真正区别。
让我们看一下Mozilla自己的安全挑战。Mozilla去年秋季发布了火狐2.0浏览器软件,到去年12月已经发布了大量的补丁修复这个软件中的安全漏洞。我们在过去也看到其它情况。例如,在发布火狐1.5和1.0之后,大量的安全补丁很快就成为必不可少的。这种情况请你解释一下火狐浏览器这样的软件程序如何会比微软的IE浏览器更安全。
Snyder: Mozilla每六个至8个星期都要发布一次安全补丁。这些补丁包括修复内部或者外部发现的安全漏洞。因此,要说火狐2.0刚刚推出就发布了安全补丁,我可以在我们发布之前的几个月就告诉你。当然,我们将发布安全补丁,因为我们在继续查找安全漏洞。我们要尽可能快地把安全更新提供给用户。微软的工作流程稍有不同。微软确实在查找自己产品中的安全漏洞并且在推出的服务包中提供更新。在Windows操作系统方面,微软大概是一年左右提供一次服务包。当外部发现安全漏洞时,微软每个月发布一次安全补丁修复这些漏洞。这个区别是我们在连续不断地查找安全漏洞并且连续不断地修复这些漏洞。用户不用等到下一个版本的软件推出就可以得到我们做的安全工作的好处。用户能够定期得到我们的安全更新。
谈谈这些补丁使用的方便性问题。有人说,微软的工作流程使微软的用户感到更方便,因为微软的用户有WSUS(Windows服务器更新服务)等程序。Mozilla的粉丝说,使用火狐浏览器,你只有一个更新对话框。
Snyder:我们的工作模式旨在满足消费者的需求,而微软有许多为企业制作的基础设施。在我们的方面,我们认为我们为用户提供了一种方便的模式。用户看到更新对话框,用鼠标点击一下,然后他们就可以运行程序更新了。我们用了许多时间创建一些功能来保护消费者和最终用户。我们多数时间都用在了这个方面,因为那是我们的目标市场。
微软原来计划在1月份发布八个安全补丁,但是最终决定取消了一半的补丁。从你在微软工作时了解的情况看,谈谈为什么有些时候撤销补丁是必要的。你再谈谈Mozilla以前是否曾做过同样的事情。
Snyder: 这对我们来说一直是一个问题。我们曾准备发布六个安全补丁修复一些安全漏洞,后来决定有一种更强大的方法能够解决这个问题并且能够防止未来发生其它问题。也许是一个具体的补丁没有经过足够的测试等等。这是我在微软时就遇到过的问题,我在微软的每一个团队工作时都曾遇到过这个问题。有时候,你要修复一个安全漏洞,结果发现这个问题并不是惟一的问题,而是许多问题,你要修复整个一类问题而不是一个问题。有时候,你在这个工作流程的晚些时候才发现这个问题。这种事情的发生有许多原因。这都是一些聪明的人在研究非常困难的问题。我们都在设法做有益于用户的事情。我可以肯定地说,微软并不是随意撤销要发布的补丁的。微软肯定是认为他们花更多的时间研制补丁将对用户提供更好的保护。
微软过去用许多研究人员做查找安全漏洞的工作,没有给他们机会提供补丁或者绕过的措施。你认为什么是负责任地披露安全漏洞,什么是不负责任地披露安全漏洞,Mozilla过去是否当过后者的受害者?
Snyder: 微软和Mozilla都认为,安全研究人员向厂商报告安全漏洞,使厂商在这个信息公开之前有机会修复这个安全漏洞,这样能够让用户得到最好的保护。因此,我们在这一点上的意见是一致的。但是,Mozilla对任何安全漏洞的报告都表示感谢,即使这个安全漏洞的信息意外地公开了,因为这意味着我们有机会修复这个安全漏洞,使我们的产品更安全。我个人喜欢用户在世界的其它地方了解这个安全漏洞的细节之前得到安全补丁。即使泄露了这个安全漏洞的信息也是有价值的,因为整个产品会因此变得更安全,用户会的到保护。
谈谈源代码的价值和二进制分析以及Mozilla对它采取的方法与微软的对比。
Snyder:微软做了许多工作在内部培训其开发人员熟悉最佳的安全做法,并且让厂商也参与和研究它们的代码。在Mozilla公司,我们确实要与研究社区打成一片并且鼓励研究人员直接提交他们的研究成果来为Mozilla计划做出贡献。许多浏览器问题影响到每一种浏览器。如果你拥有源代码,你会很容易理解普通的浏览器问题。对于这些人来说,这是一个有趣的计划。我们确实要高度评价他们的贡献,真正鼓励他们帮助我们发现安全漏洞并且为保证浏览器的安全想出更好的方法。