Видео: Маша и Медведь (Masha and The Bear) - Маша плюс каша (17 Серия) (Октября 2024)
САН-ФРАНЦИСКО. Группа участников конференции RSA, состоящая из двух человек, решала провокационный вопрос: является ли безопасность программного обеспечения пустой тратой времени для большинства компаний?
Никто не предлагал, чтобы компании игнорировали ошибки в своих продуктах, но вопрос был больше в том, как и когда должны происходить исправления.
Microsoft, Adobe и некоторые другие компании выступают за безопасный жизненный цикл разработки программного обеспечения, где вопросы безопасности решаются на всех этапах разработки. Все еще есть много компаний, которые считают, что время и деньги, потраченные на эти инициативы в области безопасности программного обеспечения, могли бы быть использованы в других местах, и в их интересах просто исправлять ошибки после поставки продуктов.
С одной стороны, есть такие компании, как Adobe, которым приходится иметь дело с преданными злоумышленниками, намеревающимися использовать уязвимости в программном обеспечении. «Эксплойт, работающий против Reader или Flash, подвергает риску более миллиарда компьютеров», - сказал Брэд Аркин из Adobe. «Стоимость выпуска этих исправлений настолько высока, что нам нужно инвестировать все возможное, чтобы исправить эти проблемы, прежде чем мы отправим», - сказал он.
А с другой стороны, есть компании, которые никогда не увидят отдачу от инвестиций в реализацию инициатив по разработке защищенного программного обеспечения, по словам исполнительного вице-президента SilverSky, бывшего Perimeter E-Security, Джона Виеги, исполнительного вице-президента SilverSky. «Для большинства компаний это будет намного дешевле и лучше обслуживать их клиентов, если они ничего не будут делать, пока что-то не произойдет. Вам лучше подождать, пока рынок заставит вас сделать это», - сказал Виега.
Слишком дорого
Viega не просто противоречил и не соглашался с Аркином из Adobe. Ранее он работал над безопасностью продуктов в McAfee и «насколько мы могли судить, это была абсолютная трата денег», сказал он.
Например, однажды у McAfee было три публично раскрытых недостатка безопасности, которые, по словам Виеги, стоили менее 50 000 долларов. На рисунке указаны все сообщения и время, затраченное на разработку и тестирование исправления. Напротив, комплексная программа обеспечения безопасности программного обеспечения, напротив, обошлась компании в миллионы долларов в прямых расходах и еще больше в косвенных расходах, таких как потеря производительности, сказал он. Насколько он мог судить, компания «сделала работу плохого парня немного дороже», но не настолько, чтобы оправдать затраты.
«Существует целый класс компаний, в которых нет смысла что-либо делать», - сказал Виега.
Хотя безопасность важна, она не должна быть движущей силой, предположил Виега. Он сравнил ситуацию с автомобильной промышленностью. Если бы безопасность была «самой важной», то «у нас были бы машины, которые не будут ездить со скоростью более 5 миль в час», сказал он. Взгляд на экономические издержки помогает понять, где должны быть компромиссы.
Для Adobe ожидание слишком дорого, поэтому они уверены, что безопасность программного обеспечения является важной частью процесса разработки продукта, от концепции, дизайна, кодирования, тестирования и развертывания. Компания проводит всестороннюю подготовку по безопасности для всех своих инженеров, независимо от уровня квалификации и опыта, чтобы гарантировать, что все смотрят на безопасность единым образом.
Исправление каждой маленькой ошибки
Аркин с осторожностью отметил, что, хотя компания потратила значительное количество времени и ресурсов на поиск и устранение уязвимостей в процессе разработки, цель не заключалась в том, чтобы устранить каждую возможную ошибку. По его словам, это было более эффективное использование энергии и денег команды для устранения категорий ошибок.
«Если вы исправляете каждую небольшую ошибку, вы теряете время, которое могли бы потратить на устранение целых классов ошибок», - сказал он.
По словам Виеги, клиенты, как правило, не имеют возможности узнать, какая компания является компанией, занимающейся доставкой или ремонтом. По его словам, покупатели недостаточно опытны и не всегда думают о безопасности приложения при оценке своих покупок. «Эй, люди все еще используют Adobe», - сказала Виега.
Может ли существовать какой-то стандарт, определяющий, является ли данное программное обеспечение продуктом для исправления или нет? Виега не исключил возможности, отметив, что даже на бутылке воды есть этикетка с информацией о питательной ценности.
