فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)
سان فرانسيسكو - تناولت لجنة مؤلفة من شخصين مؤلفة من RSA مؤلفًا سؤالًا استفزازيًا: هل يعتبر أمان البرامج مضيعة للوقت لمعظم الشركات؟
لم يكن أحد يقترح أن الشركات يجب أن تتجاهل الأخطاء في منتجاتها ، لكن السؤال كان أكثر حول كيفية وتوقيت حدوث الإصلاحات.
تدعم Microsoft و Adobe وعدد قليل من الشركات دورة حياة آمنة لتطوير البرمجيات ، حيث تتم معالجة مشكلات الأمان أثناء جميع مراحل التطوير. لا تزال هناك العديد من الشركات التي تعتقد أن الوقت والمال الذي يتم إنفاقه على مبادرات أمان البرامج هذه يمكن استخدامه في أي مكان آخر ، ومن مصلحتهم فقط إصلاح الخلل بعد شحن المنتجات.
من ناحية ، هناك شركات مثل Adobe ، التي يتعين عليها التعامل مع المهاجمين الملتزمين الذين يرغبون في استغلال الثغرات الأمنية في البرنامج. وقال براد أركين من أدوبي على اللوحة "استغلال يستغل برنامج Reader أو Flash يعرض أكثر من مليار جهاز كمبيوتر للخطر". وقال "تكلفة التخلص من هذه الإصلاحات مرتفعة للغاية ، لذا نحتاج إلى استثمار كل ما في وسعنا لإصلاح تلك المشكلات قبل شحنها".
وعلى الجانب الآخر ، هناك شركات لن ترى أبدًا عائدًا للاستثمار في تنفيذ مبادرات تطوير البرامج الآمنة ، وفقًا لما ذكره عضو اللجنة جون فيجا ، نائب الرئيس التنفيذي لشركة SilverSky ، المعروفة سابقًا باسم Perimeter E-Security. وقال فيجا "بالنسبة لمعظم الشركات ستكون أرخص بكثير وتخدم عملائها بشكل أفضل إذا لم يفعلوا أي شيء حتى يحدث شيء ما. أنت أفضل حالاً في انتظار السوق للضغط عليك للقيام بذلك".
غالي جدا
لم يكن Viega مجرد كونه مخالفًا ولا يتفق مع Adobe's Arkin. كان يعمل سابقًا في مجال حماية المنتجات في McAfee و "بقدر ما يمكننا قياسه ، فقد كان مضيعةً للمال".
على سبيل المثال ، في عام واحد ، كان لدى McAfee ثلاثة عيوب أمنية تم الكشف عنها علنًا ، والتي تكلف أقل من 50.000 دولار للتعامل معها ، على حد تعبير فيجا. تضمن الرقم كل الاتصالات والوقت المستغرق لتطوير واختبار الإصلاح. في المقابل ، كلف برنامج أمان البرامج الشامل ، على النقيض من ذلك ، الشركة ملايين الدولارات من التكاليف المباشرة ، وأكثر من ذلك في التكاليف غير المباشرة ، مثل فقدان الإنتاجية. بقدر ما يستطيع أن يقول ، فإن الشركة "جعلت وظيفة الرجل السيئ أغلى ثمناً" ، لكن ليس بما يكفي لتبرير التكاليف.
وقال فيغا: "هناك فئة كاملة من الشركات التي ليس من المنطقي فيها فعل أي شيء".
في حين أن الأمن مهم ، يجب ألا يكون القوة الدافعة ، كما اقترح فيجا. وقارن الوضع بصناعة السيارات. وقال "إذا كانت السلامة هي" الأسمى "، فعندئذ" سيكون لدينا سيارات لن تتجاوز أكثر من 5 أميال في الساعة ". إن النظر في التكاليف الاقتصادية يساعد في معرفة أين يجب أن تكون المقايضات.
بالنسبة إلى Adobe ، يعد الانتظار مكلفًا للغاية ، لذلك يتأكدون من أن أمان البرنامج جزء رئيسي من عملية تطوير المنتج ، من المفهوم والتصميم والترميز والاختبار والنشر. تجري الشركة تدريبات أمنية مكثفة لجميع مهندسيها ، بغض النظر عن مستوى المهارة والخبرة ، لضمان أن الجميع ينظر إلى الأمن بطريقة موحدة.
إصلاح كل علة صغيرة
كان اركين حريصًا على الإشارة إلى أنه على الرغم من أن الشركة قضت وقتًا طويلاً في إيجاد الموارد وتحديد نقاط الضعف أثناء عملية التطوير ، فإن الهدف لم يكن القضاء على كل خطأ محتمل. وقال إنه كان أفضل استخدام للطاقة والمال للفريق لمعالجة فئات الأخطاء.
وقال "إذا كنت تقوم بإصلاح كل خطأ صغير ، فأنت تضيع الوقت الذي يمكن أن تستخدمه للتخفيف من جميع فئات الأخطاء".
وقال فيجا إن العملاء ليس لديهم أي طريقة لمعرفة الشركة التي هي شركة شحن أو إصلاح. وقال إن المشترين ليسوا أذكياء بما فيه الكفاية ، وأنهم لا يفكرون دائمًا في أمان التطبيق عند تقييم مشترياتهم. "مهلا ، لا يزال الناس يستخدمون أدوبي" ، قال فيجا.
هل يمكن أن يكون هناك نوع من المعايير لمعرفة ما إذا كان البرنامج المعطى منتجًا "لإصلاحه" أم لا؟ لم يستبعد Viega هذا الاحتمال ، مشيرًا إلى أنه حتى قارورة الماء تحمل ملصقًا يحتوي على معلومات غذائية.
