Video: Клэй Ширки: Когнитивный излишек способен изменить мир (Oktober 2024)
SAN FRANCISCO - Et to-personers RSA-konferansepanel tok for seg et provoserende spørsmål: Er programvaresikkerhet bortkastet tid for de fleste selskaper?
Ingen antydet at selskaper skulle ignorere feil i produktene sine, men spørsmålet var mer om hvordan og når rettelser skulle oppstå.
Microsoft, Adobe og noen få andre selskaper tar til orde for en sikker livssyklus for programvareutvikling, der sikkerhetsproblemer blir adressert i alle faser av utviklingen. Det er fortsatt mange selskaper som tror at tiden og pengene brukt på disse programvaresikkerhetsinitiativene kan brukes andre steder, og det er mer i deres interesse å bare fikse feil etter at produktene er sendt.
På den ene siden er det selskaper som Adobe, som må håndtere engasjerte angripere som har til hensikt å utnytte sårbarheter i programvaren. "En utnyttelse som fungerer mot Reader eller Flash setter mer enn en milliard datamaskiner i fare, " sa Adobes Brad Arkin på panelet. "Kostnadene for å få disse rettelsene er så høye at vi trenger å investere alt vi kan for å fikse problemene før vi sender, " sa han.
Og på den andre siden er det selskaper som aldri vil se en avkastning på å implementere sikre programvareutviklingsinitiativer, ifølge panelist John Viega, konserndirektør i SilverSky, tidligere Perimeter E-Security. "For de fleste selskaper vil det bli langt billigere og betjene kundene deres mye bedre hvis de ikke gjør noe før noe skjer. Det er bedre å vente på at markedet vil presse deg til å gjøre det, " sa Viega.
For dyrt
Viega var ikke bare å være i motsetning og være uenig med Adobes Arkin. Han jobbet tidligere med produktsikkerhet hos McAfee og "så langt vi kunne måle, var det et absolutt sløsing med penger, " sa han.
Et år hadde for eksempel McAfee tre offentliggjorte sikkerhetsfeil, som koster mindre enn $ 50 000 for å håndtere, sa Viega. Figuren inkluderte all kommunikasjon og tid det tok å utvikle og teste reparasjonen. Derimot kostet et omfattende programvaresikkerhetsprogram selskapet en million dollar i direkte kostnader, og enda mer indirekte kostnader, for eksempel tap av produktivitet, sa han. Så vidt han kunne si, gjorde selskapet "jobben til den dårlige fyren litt dyrere", men ikke nok til å rettferdiggjøre kostnadene.
"Det er en hel klasse selskaper hvor det ikke er fornuftig å gjøre noe, " sa Viega.
Selv om sikkerhet er viktig, bør det ikke være drivkraften, foreslo Viega. Han sammenlignet situasjonen med bilindustrien. Hvis sikkerheten var det "aller viktigste", da "ville vi ha biler som ikke vil gå mer enn 5 mil i timen, " sa han. Å se på de økonomiske kostnadene er med på å finne ut hvor avveiningene skal være.
For Adobe er ventetid for dyrt, så de sørger for at programvaresikkerhet er en viktig del av produktutviklingsprosessen, fra konsept, design, koding, testing og distribusjon. Selskapet gjennomfører omfattende sikkerhetstrening for alle sine ingeniører, uavhengig av ferdighet og erfaringsnivå, for å sikre at alle ser på sikkerhet på en enhetlig måte.
Fixing Every Little Bug
Arkin var nøye med å påpeke at selv om selskapet brukte en betydelig mengde tid og ressurser på å finne og fikse sårbarheter under utviklingsprosessen, var ikke målet å stemple hver eneste mulige feil. Det var en bedre bruk av teamets energi og penger for å adressere kategorier av feil, sa han.
"Hvis du fikser hver eneste småfeil, kaster du bort tiden du kunne brukt til å dempe hele klasser av feil, " sa han.
Kunder har generelt ingen måte å vite hvilket selskap som er et ship-it- eller fix-it-selskap, sa Viega. Kjøpere er ikke kyndige nok, og de tenker ikke alltid på sikkerheten til applikasjonen når de evaluerer kjøpene sine, sa han. "Hei, folk bruker fortsatt Adobe, " sa Viega.
Kan det være en slags standard for å fortelle om en gitt programvare er et "fix it" produkt eller ikke? Viega utelukket ikke muligheten, og bemerket at selv en flaske vann har en etikett med ernæringsinformasjon trykt.
