Domov Varnostna ura Rsa: Ali je varnost programske opreme izguba časa?

Rsa: Ali je varnost programske opreme izguba časa?

Video: Words at War: Eighty-Three Days: The Survival Of Seaman Izzi / Paris Underground / Shortcut to Tokyo (November 2024)

Video: Words at War: Eighty-Three Days: The Survival Of Seaman Izzi / Paris Underground / Shortcut to Tokyo (November 2024)
Anonim

SAN FRANCISCO - Dvosedežni konferenčni konferenci RSA se je lotil provokativnega vprašanja: Ali je varnost programske opreme za večino podjetij izguba časa?

Nihče ni predlagal, da bi podjetja v svojih izdelkih ignorirala napake, vprašanje pa je bilo več v tem, kako in kdaj naj bi se pojavili popravki.

Microsoft, Adobe in nekaj drugih podjetij zagovarjajo varen življenjski cikel razvoja programske opreme, kjer se vprašanja varnosti obravnavajo v vseh fazah razvoja. Še vedno obstaja veliko podjetij, ki verjamejo, da bi lahko čas in denar, porabljen za te pobude za programsko varnost, uporabili drugje, zato je bolj v interesu, da odpravite napake po dobavi izdelkov.

Po eni strani obstajajo podjetja, kot je Adobe, ki se morajo spoprijeti s storjenimi napadalci, ki nameravajo izkoristiti ranljivosti v programski opremi. "Eksploatator, ki deluje proti Readerju ali Flashu, ogroža več kot milijardo računalnikov, " je na plošči dejal Adobe-ov Brad Arkin. "Stroški za odpravljanje teh popravkov so tako visoki, da moramo vložiti vse, kar lahko, da odpravimo te težave, preden jih pošljemo, " je dejal.

Po drugi strani pa obstajajo podjetja, ki nikoli ne bodo videla donosa naložb pri izvajanju pobud za varno razvoj programske opreme, je povedal panelist John Viega, izvršni podpredsednik SilverSkyja, prej Perimeter E-Security. "Za večino podjetij bo to veliko ceneje in svojim strankam postrežejo veliko bolje, če ničesar ne storijo, dokler se kaj ne zgodi. Bolje je, da počakate, da trg pritisne na vas, " je dejal Viega.

Predrago

Viega ni le nasprotovala in se ni strinjala z Adobeovim Arkinom. Prej je delal na področju varnosti izdelkov v McAfeeju in "kolikor smo lahko izmerili, je to absolutno zapravljanje denarja", je dejal.

Na primer, v enem letu je imel McAfee tri javno razkrite varnostne napake, ki so za reševanje stale manj kot 50.000 dolarjev, je povedal Viega. Številka vključuje vse komunikacije in čas, potreben za razvoj in preizkušanje popravka. Po drugi strani je celovit program za varnost programske opreme podjetje stalo milijon dolarjev neposrednih stroškov, še več pa posrednih stroškov, kot je izguba produktivnosti, je dejal. Kolikor je lahko povedal, je podjetje "delo slabega moškega nekoliko dražje", vendar premalo, da bi upravičilo stroške.

"Obstaja cel razred podjetij, kjer nima smisla ničesar početi, " je dejal Viega.

Varnost je pomembna, vendar ne bi smela biti gonilna sila, je predlagal Viega. Primerjal je položaj z avtomobilsko industrijo. Če bi bila varnost "najpomembnejša", bi "imeli avtomobile, ki ne bi vozili več kot 5 milj na uro, " je dejal. Če pogledamo ekonomske stroške, lahko ugotovimo, kje naj bodo kompromisi.

Za Adobe je čakanje naokoli predrago, zato poskrbijo, da je varnost programske opreme pomemben del procesa razvoja izdelka, od zasnove, oblikovanja, kodiranja, testiranja in uvajanja. Podjetje izvaja obsežno varnostno usposabljanje za vse svoje inženirje, ne glede na stopnjo spretnosti in izkušenj, da bi zagotovili, da vsi na varnost gledajo enotno.

Popravljanje vsakega malega hrošča

Arkin je previdno poudaril, da čeprav je podjetje v razvojnem procesu porabilo veliko časa in virov ter odkrivalo ranljivosti, cilj ni bil odstranjevanje vseh možnih napak. Boljša poraba energije in denarja ekipe je reševanje kategorij napak, je dejal.

"Če odpravljate vsako majhno napako, zapravljate čas, ki bi ga lahko porabili za blaženje celotnih razredov napak, " je dejal.

Po mnenju Viega stranke kupci na splošno nimajo možnosti vedeti, katero podjetje je ladja - to je podjetje Kupci niso dovolj pametni in pri ocenjevanju nakupov ne razmišljajo vedno o varnosti aplikacije, je dejal. "Hej, ljudje še vedno uporabljajo Adobe, " je dejala Viega.

Ali lahko obstaja kakšen standard, ki bi povedal, ali je določena programska oprema izdelek "popravi" ali ne? Viega ni izključil možnosti, saj je na celo steklenico vode natisnjena etiketa s podatki o hranilni vrednosti.

Rsa: Ali je varnost programske opreme izguba časa?