2010 RSA大会:站在用户的角度探讨漏洞披露的责任

日期: 2010-03-03 作者:Michael S. Mimoso翻译:唐波 来源:TechTarget中国 英文

如果你是Microsoft、Adobe或任意其它主要的商业软件厂商,千万不要给大陆航空公司的首席信息安全官Tim Stanley添堵,他不是被大量急需修复的bug缠身就是缺乏应对那些问题的资源。

  “不要告诉我你下决心修复漏洞的痛苦,我不关心这些。你本身就是干软件行业的,那些代码是你写出来的,出现的问题也应该由你来解决。如果你不能处理好,就不要在那行混饭吃。”

  Metasploit的创建者HD Moore在开场白中谈到了从发现bug到补丁发布的时间跨度,微软的高级安全战略家Katie Moussouris认为厂商和研究人员之间保持持续的沟通非常重要。Stanley代表了广大的用户,他们是漏洞披露辩论中常常被忽视的群体。通常这些辩论会的观点都出自研究人员或厂商,但此次2010 RSA大会的小组讨论中Stanley站上了发言台,他是Microsoft和Adobe的一位大客户。Stanley并没有将太多时间浪费在发牢骚上,他敏锐地抨击了一些厂商和研究人员的开场白内容。

  “我很欣赏厂商和研究人员之间的友好沟通,但坦白来说,我很不满意他们的做法。我是用户,产品的费用是由我来支付的,我有理由要求漏洞在第一时间内被修复好。我烦透了各层关系带来的延时。微软知道了某个bug,研究人员知道了这个bug,而我是这一软件的最终付费者。什么时候才轮到我弄清楚问题呢?”

  Stanley说:“现在的问题出在人们支付了产品的费用,他们需要了解进展的具体情况。”

  Stanley引发的这一论调旗帜鲜明,不属于以往的任何常规讨论主题:厂商分类和bug补丁修复的优先次序,零日漏洞如何影响补丁周期,以及回归测试和补丁的稳定性。

  例如,Moore称漏洞披露问责有误——责任在厂商。研究人员受惠于厂商,他们会将bug通告给厂商,再由厂商决定这一发现何时公开。“如果你有证据证明外界已发生相应的漏洞攻击,而厂商还没有发布补丁来进行修复,这种情况下是厂商还是你不负责任没有上报呢?”

  Adobe的产品安全和隐私主管Brad Arkin称,外界发出的有关其Flash and Reader产品的bug会被列入较高的优先级。Arkin说他的团队会首先试图再现问题情况,并基于问题细节公开的程度确定它给用户带来的风险级别。

  Arkin说:“如果漏洞的详情已完全公开,补丁修复就要以更快的速度完成。我们会努力将漏洞范围缩小,但这种情况下的成本会更高。我们随后会修复其他的bug。”

  Katie Moussouris称微软采取的也是类似的方式。

  “当研究人员报告某一漏洞时,我们并不一定会调动所有资源来应对这一漏洞。举个例子,如果外界发现微软出现了严重漏洞,但我们之前发现的内部漏洞有可能比这一漏洞的优先级更高,更容易被攻击。厂商需要向研究人员表示其正在解决他们提出的问题,但发现了一些回归测试或变种,需要优先处理其他一些问题。”

  微软的安全开发生命周期(SDL)在很多方面已成为将安全引进软件设计和测试的行业标准。Windows安全已收紧了操作系统的连续迭代,而且其例行补丁发布已简化了全球IT部门规划。Moussouris说,微软过去那段基本上将QA测试外包给客户的安全更新历程已一去不复返了。

  Moussouris对Stanley说:“有些更新一次又一次地发布出来是因为它们打破了共同的安装环境,你不关心可能由此引发的资源分配难点,但我可以肯定你会关心你系统的稳定性。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Michael S. Mimoso
Michael S. Mimoso

TechTarget中国信息安全杂志(Information Security magazine)编辑

相关推荐

  • 2010 RSA大会聚焦IdM和僵尸网络保护策略

    3月2日,微软首席信息安全主管在2010 RSA主题演讲会上就企业应如何挫败僵尸网络、保护企业云计算安全并帮助用户更好地管理他们的网络身份展开了深入探讨……