在由安全厂商Sourcefire公司主办的Adobe Hater大会上，安全研究人员声称发现Adobe公司的产品存在安全漏洞，从而将Adobe推上了风口浪尖。Adobe产品安全与隐私高级主管Brad Arkin决定主动出击，向业界公开公司的安全管理流程。在黑帽大会2010上，Adobe宣布将加入微软主动保护计划（Microsoft Active Protections Program，MAPP），提前向安全厂商公布漏洞资料，以使安全厂商能够生成签名，从而防范针对Adobe Reader、Acrobat和Adobe Flash中存在的漏洞的攻击。在这次采访中，Arkin还介绍了Adobe漏洞管理和安全策略的进展。以下为访谈内容：

　　对Adobe公司来说，接受微软的软件开发生命周期（Software Development Lifecycle，SDL）过程是不是一个比较新的事物呢？

Brad Arkin：不是。微软的SDL已经实施了10年左右。Adobe的安全产品生命周期（Secure Product Lifecycle，SPLC）源自Macromedia于2004年1月开始实施的产品生命周期策略（Adobe于2005年4月收购了Macromedia）。因此，从某种意义上说，Adobe的SPLC早已起步。每当微软发布新的软件开发生命周期文档和资源时，我们总是高度重视，深入研究；每当发现好的思想观点时，我们都积极采纳并将其融入我们的产品中。

　　你希望漏洞发现者如何披露漏洞？Adobe的负责任的漏洞披露政策又如何呢？

　　Arkin：研究人员任何时候发现Adobe的产品中存在安全漏洞，都可以通过psirt@adobe.com与我们联系，我们非常愿意倾听研究人员的意见。我们会对邮件列表的内容进行梳理分类，对其中具有技术价值的邮件，我们将会主动与向我们报告漏洞的研究人员联系。如果能够证实报告漏洞的研究人员得出的结果，我们将会协调产品团队修复漏洞。然后，产品团队将创建补丁并进行测试，以确保所创建的补丁能够修复漏洞。最终，我们将发布一个安全更新。我们已经与一些研究人员建立了密切关系并开展了多次合作。也有一些研究人员，虽然我们此前可能未与其建立合作关系，但我们知道他们是安全界的同仁。当研究人员花费其宝贵的时间与我们分享漏洞信息时，我们必须确保向他们致以真挚的感谢，并尽我们所能使其了解我们的最新进展，这是我们一贯的目标。

　　Adobe为什么不向发现漏洞的研究人员颁发奖金？

　　Arkin：在支持外部研究人员帮助我们提高软件的安全性方面，我们已经投入了大量的资金。当研究人员提出一个能够增强我们软件安全性的想法时，我们的做法是寻求可能的咨询服务，而不是向发现漏洞的研究人员颁发奖金。我们将允许发现漏洞的研究人员与直接从事产品开发的工程师交流，并获得相关产品的所有内部文档，以帮助其进行完整的白盒测试，这种奖励对外部研究人员来说更加难能可贵。与此同时，研究人员的经验和技能所带来的成效也更加显著。然而，安全业界的发展一日千里，因此我们也将考虑其他方法（如向发现漏洞的研究人员颁发奖金）是否适合我们公司。

　　既然Adobe已经发布了Reader和Acrobat的季度更新，为什么又提供了一些带外更新？是不是因为Reader和Acrobat最近成为了攻击者的目标？

　　Arkin：季度更新主要是针对解决需求不是非常迫切的问题。我们必须权衡尽可能快地向客户提供保护与部署补丁的代价之间的利弊。无论我们如何努力工作以简化补丁部署过程，但只要乘以数以亿计的计算机，这一代价都十分巨大。虽然我们可以发布一大批补丁，以帮助用户防范最新发现的攻击，但与此同时，在大量的计算机上部署最新的补丁需要花费巨大的代价，这确实是一个两难的问题。

　　什么是沙盒技术，为什么要采用沙盒技术？

　　Arkin：以Reader为例，增强Reader安全性以防范我们当前遇到的这种新型威胁的各种思想千差万别，而数以亿计的用户以特定的方式使用Reader，我们必须根据这一事实对这些思想进行折中。用户不想被迫改变自己的使用方式。那么，我们如何增强这些用户使用的Reader的安全性，而又不改变用户与产品的交互方式呢？沙盒（Sandboxing）正是一种可以解决这一问题的技术，这项工作2009年夏季已经启动。目前，我们已经投入了大量资金来实施沙盒技术，并准备在Adobe Reader的下一个主要版本中采用沙盒技术。第一个版本的沙盒将是只写的。沙盒将在一个低权限的进程中运行Reader。如果攻击者发现Reader存在漏洞，现在他或她可以利用该漏洞控制计算机，但未来攻击者的行为将会被限制在沙盒中。

　　你们正在着手解决Reader和Acrobat的问题，那么你们准备如何解决Flash的问题？

　　Arkin：许多计算机上都安装了Flash Player。如果你使用的操作系统是Windows Vista或更高版本，浏览器是IE7、IE8或更高版本，则Flash Player已经被加入到Internet Explorer的保护模式下运行。与增强Reader安全性的方法类似，通常情况下，Flash Player在一个低权限的进程中运行。如果你需要执行一些要求更高权限的操作，Flash Player将使用一个代理进程来完成这些操作。另外，我们还采取了许多其他方法来增强Flash Player的安全性。在刚刚发布的10.1版本中，Flash Player现在可以挂接到浏览器的隐私模式。如果浏览器以隐私模式运行，则Flash Player可以使用并遵守浏览器的设置。

　　Adobe在黑帽大会上宣布将加入MAPP计划。Adobe为什么要加入MAPP计划，加入这一计划能为安全厂商带来什么好处？

　　Arkin：我们一直在寻求一种适当的途径，以向安全厂商提供关于产品漏洞的可操作的、详细的技术资料，从而使安全厂商可以保护我们共同的客户免遭这些类型的可能攻击。而加入MAPP计划正是向安全厂商提供这些技术资料的恰当方式。加入MAPP计划并不是多此一举，我们正在与微软合作，准备向加入MAPP计划的安全厂商通报Adobe产品的安全资料。目前，已经有65家安全厂商加入了MAPP计划。Adobe并不是要成为第66家加入MAPP计划的安全厂商，而是要成为第2家与安全厂商共享产品漏洞信息的软件制造商。