Video: Tintin2Loin - Paye mon RSA ( version live/acoustique V2 ) (Septembra 2024)
SAN FRANCISCO - Konferenčný panel RSA pre dve osoby sa zaoberal provokatívnou otázkou priamo: Je pre väčšinu spoločností softvérová bezpečnosť stratou času?
Nikto nenavrhoval, aby spoločnosti ignorovali chyby vo svojich produktoch, ale otázkou bola skôr otázka, ako a kedy by sa mali vyskytnúť opravy.
Spoločnosti Microsoft, Adobe a niekoľko ďalších spoločností sa zasadzujú za bezpečný životný cyklus vývoja softvéru, v ktorom sa problémy so zabezpečením riešia vo všetkých fázach vývoja. Stále existuje veľa spoločností, ktoré sa domnievajú, že čas a peniaze vynaložené na tieto iniciatívy v oblasti softvérovej bezpečnosti by sa mohli použiť inde, a je viac v ich záujme opraviť chyby až po dodaní produktov.
Na jednej strane existujú spoločnosti ako Adobe, ktoré sa musia vysporiadať s odhodlanými útočníkmi, ktorí chcú zneužívať zraniteľné miesta v softvéri. „Využitie, ktoré funguje proti čítačke alebo Flashu, vystavuje riziku viac ako miliardu počítačov, “ uviedol Brad Arkin z panelu spoločnosti Adobe. „Náklady na odstránenie týchto opráv sú také vysoké, že pred odoslaním musíme investovať všetko, čo je v našich silách, aby sme ich vyriešili, “ uviedol.
A na druhej strane existujú spoločnosti, ktoré nikdy neuvidia návratnosť investícií do implementácie iniciatív v oblasti bezpečného vývoja softvéru, uvádza panelista John Viega, výkonný viceprezident spoločnosti SilverSky, predtým Perimeter E-Security. "Pre väčšinu spoločností to bude oveľa lacnejšie a bude slúžiť svojim zákazníkom oveľa lepšie, ak nič neurobia, kým sa niečo nestane. Radšej čakáte, až na vás bude trh vyvíjať nátlak, " uviedol Viega.
Príliš drahé
Viega nebola iba v rozpore a nesúhlasila s Arkinovou spoločnosťou Adobe. Predtým pracoval na zabezpečení produktu v spoločnosti McAfee a „pokiaľ sme to dokázali zmerať, bola to absolútna strata peňazí, “ povedal.
Napríklad, jeden rok spoločnosť McAfee mala tri verejne odhalené bezpečnostné chyby, ktoré stoja celkovo menej ako 50 000 dolárov. Údaj zahŕňal všetku komunikáciu a čas potrebný na vývoj a testovanie opravy. Naopak, komplexný softvérový bezpečnostný program naopak stojí spoločnosť milióny dolárov v priamych nákladoch a ešte viac v nepriamych nákladoch, ako je strata produktivity, uviedol. Pokiaľ to vedel povedať, spoločnosť „urobila prácu zlodeja trochu drahšou“, ale nie dosť na to, aby odôvodnila náklady.
„Existuje celá skupina spoločností, v ktorých nemá zmysel nič robiť, “ uviedla Viega.
Aj keď je bezpečnosť dôležitá, nemala by byť hnacou silou, navrhol Viega. Porovnal situáciu s automobilovým priemyslom. Keby bola bezpečnosť „najdôležitejšia“, potom „mali by sme autá, ktoré nejdú viac ako 5 míľ za hodinu, “ povedal. Pohľad na ekonomické náklady pomôže zistiť, kde by mali byť kompromisy.
V prípade spoločnosti Adobe je čakanie príliš drahé, takže zaisťujú, že zabezpečenie softvéru je hlavnou súčasťou procesu vývoja produktu, od koncepcie, návrhu, kódovania, testovania a nasadenia. Spoločnosť vedie rozsiahle bezpečnostné školenie pre všetkých svojich inžinierov, bez ohľadu na úroveň zručností a skúseností, aby sa zaistilo, že všetci sa na bezpečnosť dívajú jednotne.
Oprava každej malej chyby
Arkin bol opatrný, keď zdôraznil, že zatiaľ čo spoločnosť strávila značné množstvo času a zdrojov hľadaním a opravovaním zraniteľností počas procesu vývoja, cieľom nebolo potlačiť každú možnú chybu. Bolo to lepšie využitie energie a peňazí tímu na riešenie kategórií chýb, uviedol.
„Ak opravujete každú malú chybu, strácate čas, ktorý ste mohli použiť na zmiernenie celých tried chýb, “ povedal.
Zákazníci vo všeobecnosti nemajú žiadny spôsob, ako zistiť, ktorá spoločnosť je spoločnosťou zaoberajúcou sa dodávkou alebo opravou, uviedla Viega. Kupujúci nie sú dostatočne dôvtipní a pri hodnotení svojich nákupov nepremýšľajú vždy o bezpečnosti aplikácie. „Hej, ľudia stále používajú Adobe, “ povedala Viega.
Mohol by existovať nejaký štandard, ktorý by zistil, či je daný softvér produktom „opraviť“ alebo nie? Viega nevylúčil túto možnosť a všimol si, že dokonca aj fľaša vody má štítok s vytlačenými výživovými informáciami.
