Video: RSA ANIMATE: Drive: The surprising truth about what motivates us (Oktober 2024)
SAN FRANCISCO - Et to-personers RSA-konferencepanel behandlede et provokerende spørgsmål head-on: Er softwaresikkerhed spild af tid for de fleste virksomheder?
Ingen antydede, at virksomheder skulle ignorere fejl i deres produkter, men spørgsmålet var mere om, hvordan og hvornår rettelser skulle opstå.
Microsoft, Adobe og et par andre virksomheder går ind for en sikker livscyklus til softwareudvikling, hvor sikkerhedsproblemer løses i alle udviklingsfaser. Der er stadig mange virksomheder, der mener, at den tid og de penge, der bruges på disse softwaresikkerhedsinitiativer, kunne bruges andre steder, og det er mere i deres interesse at bare rette fejl efter produkternes afsendelse.
På den ene side er der virksomheder som Adobe, der skal beskæftige sig med engagerede angribere, der har til hensigt at udnytte sårbarheder i softwaren. "En udnyttelse, der fungerer mod Reader eller Flash, sætter mere end en milliard computere i fare, " sagde Adobes Brad Arkin på panelet. "Omkostningerne ved at få disse rettelser ud er så høje, at vi er nødt til at investere alt, hvad vi kan, for at løse disse problemer, før vi sender, " sagde han.
Og på den anden side er der virksomheder, der aldrig vil se et afkast på investering i implementering af sikre softwareudviklingsinitiativer, ifølge panelist John Viega, koncerndirektør for SilverSky, tidligere Perimeter E-Security. "For de fleste virksomheder bliver det langt billigere og betjener deres kunder meget bedre, hvis de ikke gør noget, før der sker noget. Du er bedre stillet til at vente på, at markedet presser dig til at gøre det, " sagde Viega.
For dyrt
Viega var ikke bare at være modsat og uenig med Adobes Arkin. Han arbejdede tidligere med produktsikkerhed hos McAfee, og "så vidt vi kunne måle, var det et absolut spild af penge, " sagde han.
For eksempel havde McAfee et år tre offentligt beskyttede sikkerhedsmangler, hvilket koste mindre end $ 50.000 i alt at håndtere, sagde Viega. Figuren inkluderede al kommunikation og tid det tog at udvikle og teste rettelsen. I modsætning hertil kostede et omfattende softwaresikkerhedsprogram virksomheden millioner dollars i direkte omkostninger og endnu mere indirekte omkostninger, såsom tab af produktivitet, sagde han. Så vidt han kunne fortælle, "gjorde virksomheden den onde fyr lidt dyrere", men ikke nok til at retfærdiggøre omkostningerne.
"Der er en hel klasse af virksomheder, hvor det ikke giver mening at gøre noget, " sagde Viega.
Mens sikkerhed er vigtig, skulle det ikke være drivkraften, foreslog Viega. Han sammenlignede situationen med bilindustrien. Hvis sikkerhed var det "allerbedste", så "ville vi have biler, der ikke går mere end 5 miles i timen, " sagde han. Når man ser på de økonomiske omkostninger, hjælper det med at finde ud af, hvor modregningen skal være.
For Adobe er ventetid for dyrt, så de sørger for, at softwaresikkerhed er en vigtig del af produktudviklingsprocessen, fra koncept, design, kodning, test og implementering. Virksomheden gennemfører omfattende sikkerhedstræning for alle sine ingeniører, uanset færdighed og erfaringsniveau, for at sikre, at alle ser på sikkerhed på en samlet måde.
Reparation af hver lille fejl
Arkin var omhyggelig med at påpege, at selvom virksomheden brugte en betydelig mængde tid og ressourcer på at finde og rette op sårbarheder under udviklingsprocessen, var målet ikke at udslette hver eneste mulige fejl. Det var en bedre brug af holdets energi og penge til at adressere kategorier af bugs, sagde han.
"Hvis du løser enhver lille fejl, spilder du den tid, du kunne have brugt til at afbøde hele klasser af bugs, " sagde han.
Kunder har generelt ingen måde at vide, hvilket firma der er et skibs- eller fix-it-firma, sagde Viega. Købere er ikke kyndige nok, og de tænker ikke altid på programmets sikkerhed, når de vurderer deres køb, sagde han. ”Hej, folk bruger stadig Adobe, ” sagde Viega.
Kan der være en slags standard til at fortælle, om en given software er et "fix it" -produkt eller ej? Viega udelukkede ikke muligheden og bemærkede, at selv en flaske vand har en etiket med ernæringsoplysninger trykt.
