Video: The unibz study experience: too big and colorful to be pictured in a frame! (September 2024)
SAN FRANCISCO - En två-personers RSA-konferenspanel tog upp en provokativ fråga i huvudsak: Är mjukvarusäkerhet ett slöseri med tid för de flesta företag?
Ingen föreslog att företag skulle ignorera buggar i sina produkter, men frågan var mer om hur och när korrigeringar skulle inträffa.
Microsoft, Adobe och några andra företag förespråkar en säker livscykel för mjukvaruutveckling, där säkerhetsfrågor tas upp under alla utvecklingsfaser. Det finns fortfarande många företag som tror att den tid och pengar som spenderas på dessa programvarusäkerhetsinitiativ skulle kunna användas någon annanstans, och det är mer i deras intresse att bara fixa buggar efter att produkterna har skickats.
Å ena sidan finns det företag som Adobe som måste ta itu med engagerade angripare som har för avsikt att utnyttja sårbarheter i programvaran. "En exploit som fungerar mot Reader eller Flash utsätter mer än en miljard datorer", sa Adobes Brad Arkin på panelen. "Kostnaden för att få ut dessa korrigeringar är så hög att vi måste investera allt vi kan för att fixa dessa problem innan vi levererar, " sade han.
Och på andra sidan finns det företag som aldrig kommer att få en avkastning på investeringar för att genomföra säkra programvaruutvecklingsinitiativ, enligt panelisten John Viega, verkställande direktör för SilverSky, tidigare Perimeter E-Security. "För de flesta företag kommer det att bli mycket billigare och betjäna sina kunder mycket bättre om de inte gör någonting förrän något händer. Du är bättre på att vänta på att marknaden kommer att pressa dig att göra det, " sa Viega.
För dyr
Viega var inte bara motsatt och inte håller med Adobes Arkin. Han arbetade tidigare med produktsäkerhet hos McAfee och "så långt vi kunde mäta var det ett absolut slöseri med pengar", sade han.
Till exempel, ett år hade McAfee tre offentligt avslöjade säkerhetsbrister, vilket kostar mindre än $ 50 000 för att hantera, säger Viega. Siffran inkluderade all kommunikation och tid det tog att utveckla och testa fixen. Däremot kostade ett omfattande programvarusäkerhetsprogram företaget miljoner dollar i direkta kostnader, och ännu mer indirekta kostnader, såsom produktivitetsförlust, sade han. Så långt han kunde veta gjorde företaget "den dåliga killen jobb lite dyrare", men inte tillräckligt för att motivera kostnaderna.
"Det finns en hel grupp företag där det inte är vettigt att göra någonting, " sade Viega.
Även om säkerhet är viktig, borde det inte vara den drivande kraften, föreslog Viega. Han jämförde situationen med bilindustrin. Om säkerheten var det "viktigaste", då "skulle vi ha bilar som inte går mer än 5 mil per timme", sade han. Att titta på de ekonomiska kostnaderna hjälper till att räkna ut var avvägningarna ska vara.
För Adobe är att vänta för dyrt, så de ser till att mjukvarusäkerhet är en viktig del av produktutvecklingsprocessen, från koncept, design, kodning, testning och distribution. Företaget genomför omfattande säkerhetsutbildning för alla sina ingenjörer, oavsett kompetens och erfarenhetsnivå, för att säkerställa att alla tittar på säkerhet på ett enhetligt sätt.
Fixing Every Little Bug
Arkin var noga med att påpeka att även om företaget tillbringade en betydande mängd tid och resurser på att hitta och fixa sårbarheter under utvecklingsprocessen, var målet inte att utplåna varje enskilt fel. Det var en bättre användning av teamets energi och pengar för att hantera kategorier av buggar, sade han.
"Om du fixar varje lilla bugg, slösar du bort tiden du kunde ha använt för att mildra hela klasser av buggar, " sade han.
Kunder har i allmänhet inget sätt att veta vilket företag som är ett ship-it eller fix-it-företag, sa Viega. Köpare är inte tillräckligt kunniga, och de funderar inte alltid på säkerheten i applikationen när de utvärderar sina inköp, sade han. "Hej, folk använder fortfarande Adobe, " sa Viega.
Kan det finnas någon typ av standard för att säga om en viss programvara är en "fixa det" -produkt eller inte? Viega uteslutte inte möjligheten och noterade att även en flaska vatten har en etikett med näringsinformation tryckt.
