ИТ общността се нуждае от решения за проблемите, а не от “кръпки”

Категория: Интернет
Етикети:
10.1.2002
Наскоро изследователят в сферата на сигурността Дейвид Личфийлд заяви, че ще дава на производителите само по една седмица време за пускане на поправки, преди да обяви публично уязвимите места, които е открил в продуктите им. Това отношение особено ясно подчертава изострените аспекти на ставащия все по-труден дебат на тема как най-добре да бъдат защитавани ИТ активите.
Софтуерните производители често прекалено бавно отстраняват проблемите в продуктите си, а външният натиск (идващ от разкритията на експертите и от гарантираната благодарение на медиите публичност) често се оказва единственият механизъм, с който клиентите разполагат, за да предизвикват повече отговорност у производителите. Хората, които редовно преглеждат бюлетините за сигурността на големите софтуерни компании, безспорно ще забележат, че за съжаление напоследък се пускат все повече и повече материали в резултат от доклади за открити уязвими места в продуктите на трети фирми, а не от вътрешни ревизионни процеси, реализирани от самите производители.
Дори когато софтуерните компании допускат, че при даден техен продукт съществува сериозен пробив в областта на сигурността, те се нуждаят от време, за да проверят дали този проблем е налице във всички поддържани версии на продукта и за всички платформи. А след като се разработи “кръпка”, тя трябва да бъде тествана, документирана и преведена. Този процес на гарантиране на качеството е от първостепенно значение, защото самите “кръпки” могат да причинят сериозни главоболия, например като разбият съществуващите системи в оперативен план.
В eWeek Labs установяваме, че кривата на отговорите от страна на производителите бележи доста сериозни колебания. В тази връзка сме на мнение, че макар занимаващите се с разработването на софтуер компании да трябва сами да забелязват уязвимите места и да го правят изпреварващо, все пак не бива да бъдат уведомявани за допуснатите грешки на толкова лично ниво и толкова рано, че едва ли не да се чувстват безучастни спрямо целия този процес.