如果你是Microsoft���、Adobe或任意其它主要的商業(yè)軟件廠商,千萬不要給大陸航空公司的首席信息安全官Tim Stanley添堵���,他不是被大量急需修復的bug纏身就是缺乏應對那些問題的資源���。
“不要告訴我你下決心修復漏洞的痛苦,我不關心這些���。你本身就是干軟件行業(yè)的���,那些代碼是你寫出來的,出現(xiàn)的問題也應該由你來解決���。如果你不能處理好���,就不要在那行混飯吃���。”
Metasploit的創(chuàng)建者HD Moore在開場白中談到了從發(fā)現(xiàn)bug到補丁發(fā)布的時間跨度���,微軟的高級安全戰(zhàn)略家Katie Moussouris認為廠商和研究人員之間保持持續(xù)的溝通非常重要���。Stanley代表了廣大的用戶,他們是漏洞披露辯論中常常被忽視的群體���。通常這些辯論會的觀點都出自研究人員或廠商���,但此次2010 RSA大會的小組討論中Stanley站上了發(fā)言臺,他是Microsoft和Adobe的一位大客戶���。Stanley并沒有將太多時間浪費在發(fā)牢騷上���,他敏銳地抨擊了一些廠商和研究人員的開場白內容。
“我很欣賞廠商和研究人員之間的友好溝通���,但坦白來說���,我很不滿意他們的做法���。我是用戶,產品的費用是由我來支付的���,我有理由要求漏洞在第一時間內被修復好。我煩透了各層關系帶來的延時���。微軟知道了某個bug���,研究人員知道了這個bug,而我是這一軟件的最終付費者���。什么時候才輪到我弄清楚問題呢?”
Stanley說:“現(xiàn)在的問題出在人們支付了產品的費用���,他們需要了解進展的具體情況���!
Stanley引發(fā)的這一論調旗幟鮮明���,不屬于以往的任何常規(guī)討論主題:廠商分類和bug補丁修復的優(yōu)先次序���,零日漏洞如何影響補丁周期,以及回歸測試和補丁的穩(wěn)定性���。
例如���,Moore稱漏洞披露問責有誤——責任在廠商。研究人員受惠于廠商���,他們會將bug通告給廠商���,再由廠商決定這一發(fā)現(xiàn)何時公開���!叭绻阌凶C據證明外界已發(fā)生相應的漏洞攻擊���,而廠商還沒有發(fā)布補丁來進行修復,這種情況下是廠商還是你不負責任沒有上報呢?”
Adobe的產品安全和隱私主管Brad Arkin稱���,外界發(fā)出的有關其Flash and Reader產品的bug會被列入較高的優(yōu)先級���。Arkin說他的團隊會首先試圖再現(xiàn)問題情況���,并基于問題細節(jié)公開的程度確定它給用戶帶來的風險級別。
Arkin說:“如果漏洞的詳情已完全公開���,補丁修復就要以更快的速度完成���。我們會努力將漏洞范圍縮小,但這種情況下的成本會更高���。我們隨后會修復其他的bug���!
Katie Moussouris稱微軟采取的也是類似的方式���。
“當研究人員報告某一漏洞時,我們并不一定會調動所有資源來應對這一漏洞���。舉個例子���,如果外界發(fā)現(xiàn)微軟出現(xiàn)了嚴重漏洞���,但我們之前發(fā)現(xiàn)的內部漏洞有可能比這一漏洞的優(yōu)先級更高,更容易被攻擊���。廠商需要向研究人員表示其正在解決他們提出的問題���,但發(fā)現(xiàn)了一些回歸測試或變種,需要優(yōu)先處理其他一些問題������!
微軟的安全開發(fā)生命周期(SDL)在很多方面已成為將安全引進軟件設計和測試的行業(yè)標準。Windows安全已收緊了操作系統(tǒng)的連續(xù)迭代���,而且其例行補丁發(fā)布已簡化了全球IT部門規(guī)劃���。Moussouris說,微軟過去那段基本上將QA測試外包給客戶的安全更新歷程已一去不復返了���。
Moussouris對Stanley說:“有些更新一次又一次地發(fā)布出來是因為它們打破了共同的安裝環(huán)境���,你不關心可能由此引發(fā)的資源分配難點���,但我可以肯定你會關心你系統(tǒng)的穩(wěn)定性���!
