Будинки Securitywatch Rsa: чи безпека програмного забезпечення - це марна трата часу?

Rsa: чи безпека програмного забезпечення - це марна трата часу?

Відео: 🔮( СТРЕЛЕЦ) 🎄 МАГИЧЕСКИЕ ПОСЛАНИЯ АНГЕЛОВ в НГ 2020 для Всех Знаков Зодиака (Листопад 2024)

Відео: 🔮( СТРЕЛЕЦ) 🎄 МАГИЧЕСКИЕ ПОСЛАНИЯ АНГЕЛОВ в НГ 2020 для Всех Знаков Зодиака (Листопад 2024)
Anonim

SAN FRANCISCO - Двомісний засідання конференції RSA вирішило провокаційне запитання: чи безпека програмного забезпечення марно витрачає час на більшість компаній?

Ніхто не припускав, що компанії повинні ігнорувати помилки у своїх продуктах, але питання було більше в тому, як і коли мають відбуватися виправлення.

Microsoft, Adobe та кілька інших компаній виступають за безпечний життєвий цикл розробки програмного забезпечення, де проблеми безпеки вирішуються на всіх етапах розробки. Є ще багато компаній, які вважають, що час та гроші, витрачені на ці ініціативи щодо забезпечення програмного забезпечення, можуть бути використані в іншому місці, і їм більше цікаво виправляти помилки після доставки продукції.

З одного боку, є такі компанії, як Adobe, яким доводиться мати справу з вчиненими зловмисниками намірами використовувати вразливості програмного забезпечення. "Експлоатація, яка працює проти Reader або Flash, ставить під загрозу понад мільярд комп'ютерів", - заявив на панелі Бред Аркін. "Вартість виправлення цих виправлень настільки висока, що нам потрібно вкласти все можливе, щоб виправити ці проблеми, перш ніж відправляти", - сказав він.

З іншого боку, є компанії, які ніколи не побачать рентабельності інвестицій у реалізацію ініціатив із розробки безпечного програмного забезпечення, за словами панеліста Джона Вієги, виконавчого віце-президента SilverSky, раніше Perimeter E-Security. "Для більшості компаній це буде набагато дешевше і обслуговувати своїх клієнтів набагато краще, якщо вони нічого не робитимуть, поки щось не станеться. Вам краще чекати, коли ринок тисне на вас, щоб зробити це", - сказала Віга.

Занадто дорого

Viega не просто суперечив і не погоджувався з Arkin Adobe. Раніше він працював над безпекою продуктів у McAfee, і "наскільки ми могли виміряти, це була абсолютна трата грошей", - сказав він.

Наприклад, за один рік у McAfee були три публічно розкриті недоліки в безпеці, які в цілому коштували менше 50 000 доларів, сказав Вієга. Ця цифра включала всі комунікації та час, необхідний для розробки та тестування виправлення. Навпаки, комплексна програма захисту програмного забезпечення, навпаки, коштувала компанії мільйонів доларів на прямі витрати, а ще більше на непрямі витрати, такі як втрата продуктивності, сказав він. Наскільки він міг сказати, компанія "зробила роботу поганого хлопця трохи дорожче", але недостатньо, щоб виправдати витрати.

"Є цілий клас компаній, де немає сенсу нічого робити", - заявила Віга.

Хоча безпека важлива, вона не повинна бути рушійною силою, запропонував Віга. Він порівняв ситуацію з автомобільною промисловістю. Якби безпека була "найважливішою", то "у нас були б машини, які не їздять більше 5 миль на годину", - сказав він. Дивлячись на економічні витрати, допоможіть з’ясувати, де повинні бути компроміси.

Для Adobe очікування навколо занадто дороге, тому вони гарантують, що безпека програмного забезпечення є основною частиною процесу розробки продукту, починаючи від концепції, дизайну, кодування, тестування та розгортання. Компанія проводить широкі тренінги з безпеки для всіх своїх інженерів, незалежно від рівня кваліфікації та досвіду, щоб гарантувати, що кожен дивиться на безпеку уніфікованим чином.

Виправлення кожного маленького помилки

Аркін обережно зазначив, що, хоча компанія витрачала значну кількість часу та ресурсів на пошук та виправлення вразливих місць під час процесу розробки, мета не була усунення кожної можливої ​​помилки. За його словами, це було краще використовувати енергію та гроші команди для вирішення категорій помилок.

"Якщо ви виправляєте кожну маленьку помилку, ви витрачаєте час, який могли б використати для пом'якшення цілих класів помилок", - сказав він.

Клієнти, як правило, не мають можливості дізнатися, яка компанія - це судно, чи компанія, що виправляє, сказала Viega. Покупці недостатньо кмітливі, і вони не завжди думають про безпеку програми, оцінюючи свої покупки, сказав він. "Гей, люди все ще використовують Adobe", - сказала Віга.

Чи може бути якийсь стандарт, який би сказав, чи є певне програмне забезпечення продуктом "виправити це" чи ні? Viega не виключив можливості, зазначивши, що навіть на пляшці води є етикетка з інформацією про поживні речовини.

Rsa: чи безпека програмного забезпечення - це марна трата часу?