就在eEye公司發(fā)現(xiàn)了CA ARCServe筆記本和PC備份軟件的第一個軟件漏洞之后,eEye公司的首席技術(shù)官(CTO)馬克麥弗雷(Marc Maiffret)向《InformationWeek》的莎倫戈丹(Sharon Gaudin)形容道:"其影響如山崩地裂�����,影響范圍不停地擴大,擴大��,再擴大����。這軟件真的是糟糕透了。"
同時���,奧爾曼也強調(diào)不是所有的軟件安全漏洞都需要公諸于眾�。有些問題軟件廠商會在內(nèi)部發(fā)現(xiàn)后���,悄無聲息地填補��。他表示有些程序"臭蟲"(Bug)危害大到了不能公開的地步����。
在最近的高德納公司(Gartner)IT安全峰會上���,來自安全公司的演講者表示,他們采用了不同的手段來解決他們發(fā)現(xiàn)的軟件漏洞�����。Errata安全公司(Errata Security)的CTO大衛(wèi)梅納爾(David Maynor)表示,他會在公布軟件漏洞之前�����,給軟件廠商一個月的時間修補軟件漏洞���。Matasano安全公司(Matasano Security)的主管托馬斯普塔克(Thomas Ptacek)則表示���,他會等待廠商自行發(fā)布軟件漏洞報告。其他安全研究公司則會毫不顧忌地立刻公布他們發(fā)現(xiàn)的漏洞��。
但是�,也許我們之前把太多的精力放在了信息傳遞者及其所傳遞的信息上,我們?nèi)狈﹃P(guān)注的其實是真正的"主角"-軟件開發(fā)人員�����,他們不停地制造軟件���,而這些軟件充滿安全漏洞��,讓黑客樂此不疲地尋找可乘之機���。
其實早有人提出讓軟件開發(fā)者承擔(dān)安全漏洞帶來的法律責(zé)任���。某種程度上,廠商會被迫延長他們的開發(fā)周期�����,推遲一些功能的開發(fā)��,同時把時間和精力投入在安全開發(fā)流程上�����,以滿足商業(yè)生存的大前提��。如果潛在的立法手段還不足以讓開發(fā)者重視安全問題���,那么他們也許可以接著考慮一下切身相關(guān)的成本問題:據(jù)Veracode公司CTO克里斯沃斯帕爾(Chris Wysopal)表示�����,修正一個正在使用中的應(yīng)用軟件的漏洞�����,代價之巨大達到了在開發(fā)中修正同樣漏洞的100倍之多�����。
當(dāng)然����,最后我們也不能忘了這些真正的罪犯-這些制造安全威脅����,制造病毒,然后發(fā)動攻擊的惡棍����。讓這些人受到應(yīng)有的懲處,以示后人�����。
