【TechTarget中国原创】Mozilla的首席安全官在旧金山的IT安全世界(IT Security World)说,安全专家Snyder需要督促他们的厂商,使其提早知道漏洞和其他安全信息。
Window Snyder说,对于很多软件开发人员来说,安全不是首要考虑的,但是用户正在让他们改变观念。她说:“在这种关系中,你有这种力量……向厂商要求比市场要求的更多的安全。他们可能使他们的程序更加公开。你们应该让厂商多讲一些。”
她说,例如,微软在听到用户对Windows XP的安全问题后才开始关注安全的。
Snyder说:“对于其他的软件厂商来说,如果他们不听用户的声音,就 很难证明这些变化。”Synder在微软工作的时候,曾帮助开发XP的SP2。
她说,共享安全信息可以认识到公司并不安全,状况还在变化。当厂商交流他们在安全方面的做法时——不仅是他们如何修复漏洞,还有他们的安全开发和培训方面的工作,她说,这样可以建立信息,她还补充说:“当谈到安全问题时,我也喜欢交流。”
在Mozilla,Snyder说,生产Firefox浏览器时最有名的是,她强烈支持透明的安全。“我们的源代码是开放的,每个人都可以得到。”
她列出了一些组织的安全措施,包括开发安全策略的工作,即漏洞等级、发现的频率/修复频率和配置补丁的时间。她说,把安全简单基于发现的漏洞数量是没用的策略。她还补充说它只提供了让厂商对bug保持安静的激励措施。
在察看代码的方面,Snyder说她非常喜欢fuzzer,她说它产生的最小的假阳性,而且可以模拟攻击者工作的方式。Mozilla已经像这个行业公开了它的fuzzer。她说,外部的安全顾问对开发过程来说是一种很客观的方式。
厂商把安全打包到主要的SP中,Snyder对此提出了批评。她说这样可以给他们时间来测试补丁,但是把用户至于危险之中。“我敦促你告诉你的厂商衡量测量通过SP的怪物的益处。”
她还评价了Google,关于Google没有提示用户对新的chrome浏览器发布更新。她说,如果这个更新削弱了一项功能,对于IT部门来说将产生问题。