披露软件缺陷 厂商安全研究人员说了算
新客网 XKER.COM 2007-03-28 收藏本文
上周六,Mozilla 基金会的安全事务总监Window Snyder 表示,在披露安全缺陷方面,软件厂商受到了安全研究人员的完全控制。
多年来,软件产业一直在推动制订缺陷披露原则。Snyder在ShmooCon黑客会议的一次讨论会上说,这些“负责任的披露”计划产生了一些效果,但安全研究人员仍然控制着这一过程。Snyder说,一切由安全研究人员说了算,他们控制着披露时间,他们控制着厂商是否有足够的发布时间。
公布缺陷详细资料多年来一直是个热门话题。软件产业提倡秘密地披露,等待厂商发布补丁软件后再公开详细资料,它们称之为“负责任的披露”。提前公布缺陷的详细资料将有助于犯罪分子发动攻击,有损厂商的名誉。Snyder说,厂商有责任对向它们通报的缺陷做出及时的回应。
但是,并非所有的人都认可“负责任的披露”原则。安全软件厂商Immunity的Dave Aitel表示,这是软件厂商的一个圈套。“负责任的披露”有利于微软和其它大软件厂商,它们希望控制这一过程。
Aitel说,安全研究人员无需向厂商通报缺陷资料,而是将缺陷信息出售给它。Immunity向安全研究人员购买安全缺陷的详细资料,并在其产品中使用这些资料,其中包括能够被用来入侵计算机和网络的渗透测试。
TippingPoint安全研究经理Rohit Dhamankar说,如果企业运用法律武器威胁安全研究人员,这是一种企业无知的典型例子。
为了获得针对对手的竞争优势,Immunity和TippingPoint等公司都向安全研究人员购买缺陷资料。通过购买缺陷资料,它们的产品能够早于其它产品和在官方补丁软件发布前探测到缺陷。
Veracode的创始人、技术总监Chris Wysopal表示,如果不公开披露,缺陷就得不到修正。公开披露是使缺陷得到真正修正的唯一途径。
Snyder说,是厂商有30天的时间发布补丁软件是一个不错的主意,他还呼吁安全研究人员遵守“负责任的披露”原则。
多年来,软件产业一直在推动制订缺陷披露原则。Snyder在ShmooCon黑客会议的一次讨论会上说,这些“负责任的披露”计划产生了一些效果,但安全研究人员仍然控制着这一过程。Snyder说,一切由安全研究人员说了算,他们控制着披露时间,他们控制着厂商是否有足够的发布时间。
公布缺陷详细资料多年来一直是个热门话题。软件产业提倡秘密地披露,等待厂商发布补丁软件后再公开详细资料,它们称之为“负责任的披露”。提前公布缺陷的详细资料将有助于犯罪分子发动攻击,有损厂商的名誉。Snyder说,厂商有责任对向它们通报的缺陷做出及时的回应。
但是,并非所有的人都认可“负责任的披露”原则。安全软件厂商Immunity的Dave Aitel表示,这是软件厂商的一个圈套。“负责任的披露”有利于微软和其它大软件厂商,它们希望控制这一过程。
Aitel说,安全研究人员无需向厂商通报缺陷资料,而是将缺陷信息出售给它。Immunity向安全研究人员购买安全缺陷的详细资料,并在其产品中使用这些资料,其中包括能够被用来入侵计算机和网络的渗透测试。
TippingPoint安全研究经理Rohit Dhamankar说,如果企业运用法律武器威胁安全研究人员,这是一种企业无知的典型例子。
为了获得针对对手的竞争优势,Immunity和TippingPoint等公司都向安全研究人员购买缺陷资料。通过购买缺陷资料,它们的产品能够早于其它产品和在官方补丁软件发布前探测到缺陷。
Veracode的创始人、技术总监Chris Wysopal表示,如果不公开披露,缺陷就得不到修正。公开披露是使缺陷得到真正修正的唯一途径。
Snyder说,是厂商有30天的时间发布补丁软件是一个不错的主意,他还呼吁安全研究人员遵守“负责任的披露”原则。
相关文章发表评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
·慧聪亏损6000万 B2B行业网站盈利不易?
·电子商务核心价值链研究 模型构建与实现
·我国中小企业开展电子商务的现状与问题
·基于博弈论模型的C2C交易诚信问题研究
·2006年 中国电子银行市场的回顾与展望
·EC2.0:Web2.0环境下的电子商务新发展
·多视角审视B2C、C2C电子商务概念与原理
·我国中小企业银行融资的博弈分析研究
·苏宁电器ERP项目实施案例经验分享
·装配型制造业传统生产管理模式的革命
·中国电子商务的“行业热”与“就业难”
·杰弗瑞·莱克谈丰田模式与企业ERP的实施
·政府支持 中国McWill生存与发展的关键
·中国电子商务 如何走好“最后一公里”
·淘宝“收费尴尬”与“赢利的破局”
·电子商务核心价值链研究 模型构建与实现
·我国中小企业开展电子商务的现状与问题
·基于博弈论模型的C2C交易诚信问题研究
·2006年 中国电子银行市场的回顾与展望
·EC2.0:Web2.0环境下的电子商务新发展
·多视角审视B2C、C2C电子商务概念与原理
·我国中小企业银行融资的博弈分析研究
·苏宁电器ERP项目实施案例经验分享
·装配型制造业传统生产管理模式的革命
·中国电子商务的“行业热”与“就业难”
·杰弗瑞·莱克谈丰田模式与企业ERP的实施
·政府支持 中国McWill生存与发展的关键
·中国电子商务 如何走好“最后一公里”
·淘宝“收费尴尬”与“赢利的破局”
专题教程
最新文章
·慧聪亏损6000万 B2B行业网站盈利不易?
·电子化革命刺激全球衍生品交易快速增长
·中国电子商务的“行业热”与“就业难”
·雅虎联手贝宝应对Google的Checkout服务
·C2C“大众讨论” 电子商务漏税无罪?
·我国中小企业开展电子商务的现状与问题
·淘宝“收费尴尬”与“赢利的破局”
·EC2.0:Web2.0环境下的电子商务新发展
·2006年 中国电子银行市场的回顾与展望
·多视角审视B2C、C2C电子商务概念与原理
·电子商务核心价值链研究 模型构建与实现
·基于博弈论模型的C2C交易诚信问题研究
·中国电子商务 如何走好“最后一公里”
·选eBay还是淘宝 全球化为何不敌本土化
·电子支付发牌在即 无牌企业面临“死缓”
·电子化革命刺激全球衍生品交易快速增长
·中国电子商务的“行业热”与“就业难”
·雅虎联手贝宝应对Google的Checkout服务
·C2C“大众讨论” 电子商务漏税无罪?
·我国中小企业开展电子商务的现状与问题
·淘宝“收费尴尬”与“赢利的破局”
·EC2.0:Web2.0环境下的电子商务新发展
·2006年 中国电子银行市场的回顾与展望
·多视角审视B2C、C2C电子商务概念与原理
·电子商务核心价值链研究 模型构建与实现
·基于博弈论模型的C2C交易诚信问题研究
·中国电子商务 如何走好“最后一公里”
·选eBay还是淘宝 全球化为何不敌本土化
·电子支付发牌在即 无牌企业面临“死缓”
实用信息推荐