旧金山-由两个人组成的RSA Conference小组正面解决了一个挑衅性问题:对于大多数公司而言,软件安全性是在浪费时间吗?
没有人建议公司应该忽略其产品中的错误,但问题更多是应该如何以及何时进行修复。
Microsoft,Adobe和其他一些公司提倡安全的软件开发生命周期,其中在开发的所有阶段都要解决安全问题。 仍然有许多公司相信花在这些软件安全措施上的时间和金钱可以用在其他地方,并且更感兴趣的是仅在产品交付后修复错误。
一方面,有些公司(如Adobe)必须与致力于利用软件漏洞的坚定攻击者打交道。 Adobe的布拉德·阿金(Brad Arkin)在小组讨论中说:“与Reader或Flash对抗的漏洞使十亿多台计算机面临风险。 他说:“解决这些问题的成本太高了,我们需要在解决问题之前投入一切力气来解决这些问题。”
另一方面,SilverSky(以前是Perimeter E-Security)的执行副总裁小组成员John Viega说,有些公司永远不会在实施安全软件开发计划上获得投资回报。 Viega说:“对于大多数公司而言,如果不采取任何行动,他们将变得更加便宜,并为他们的客户提供更好的服务。您最好等待市场施加压力,让他们这样做。”
太贵了
Viega不只是与Adobe的Arkin背道而驰。 他说,他曾在McAfee从事产品安全方面的工作,“就我们所能衡量的,这绝对是金钱上的浪费”。
Viega说,例如,一年中,McAfee有3个公开披露的安全漏洞,总共花费不到50, 000美元。 该图包括所有通信以及开发和测试此修复程序所花费的时间。 相比之下,全面的软件安全计划则使公司的直接成本损失了数百万美元,而间接成本(例如生产力损失)的成本甚至更高。 据他所知,该公司“使坏人的工作贵了一点”,但不足以证明费用合理。
Viega说:“在很多公司中,什么都不做。”
Viega建议,尽管安全很重要,但它不应成为驱动力。 他将情况与汽车行业进行了比较。 他说,如果安全是“最重要的”,那么“我们将拥有时速不超过5英里的汽车。” 查看经济成本有助于找出应该在哪里进行权衡。
对于Adobe来说,等待时间太昂贵了,因此他们确保从概念,设计,编码,测试和部署开始,软件安全性是产品开发过程的重要组成部分。 该公司为所有工程师提供广泛的安全培训,无论其技能和经验水平如何,以确保每个人都以统一的方式看待安全性。
修复每个小错误
Arkin谨慎地指出,尽管公司在开发过程中花费了大量时间和资源来查找和修复漏洞,但目标并不是消除每个可能的错误。 他说,这是更好地利用团队的精力和金钱来解决漏洞的类别。
他说:“如果要修复每个小错误,那是在浪费本来可以缓解整个错误类别的时间。”
Viega说,客户通常无法知道哪家公司是运输公司或修理公司。 他说,买家不够精明,他们在评估购买时并不总是在考虑应用程序的安全性。 Viega说:“嘿,人们仍然在使用Adobe。”
可以使用某种标准来判断给定软件是否为“修复它”产品? Viega并没有排除这种可能性,并指出,即使一瓶水也带有印有营养信息的标签。
