Video: 24 Oras: P10 sa kada sako ng nahakot na basura, pakulo ng Biñan LGU para mapabilis ang paglilinis... (Nobyembre 2024)
SAN FRANCISCO-Isang dalawang-tao na panel ng RSA Conference ay na-tackle ang isang nakakainis na tanong na head-on: Ang ba ng seguridad ng software ay isang aksaya ba sa oras para sa karamihan ng mga kumpanya?
Walang nagmumungkahi na ang mga kumpanya ay dapat huwag pansinin ang mga bug sa kanilang mga produkto, ngunit ang tanong ay higit sa kung paano at kailan dapat maganap ang pag-aayos.
Ang Microsoft, Adobe, at ilang iba pang mga kumpanya ay nagtataguyod ng isang ligtas na lifecycle ng pag-unlad ng software, kung saan tinatalakay ang mga isyu sa seguridad sa lahat ng mga yugto ng pag-unlad. Mayroon pa ring maraming mga kumpanya na naniniwala na ang oras at pera na ginugol sa mga inisyatibong seguridad ng software ay maaaring magamit sa ibang lugar, at higit pa sa kanilang interes na ayusin lamang ang mga bug pagkatapos ng mga produkto ng barko.
Sa isang banda, mayroong mga kumpanya tulad ng Adobe, na kailangang harapin ang mga nakatuong attackers na intensyon ang pagsasamantala sa mga kahinaan sa software. "Ang isang pagsasamantala na gumagana laban sa Reader o Flash ay naglalagay ng higit sa isang bilyong mga computer na nanganganib, " sinabi ni Brad Arkin sa panel. "Ang gastos ng pagkuha ng mga pag-aayos ay napakataas na kailangan nating mamuhunan sa lahat ng aming makakaya upang ayusin ang mga problemang iyon bago tayo ipadala, " aniya.
At sa kabilang banda, may mga kumpanya na hindi kailanman makakakita ng pagbabalik sa pamumuhunan sa pagpapatupad ng mga ligtas na mga hakbangin sa pag-unlad ng software, ayon kay panelist John Viega, executive vice-president ng SilverSky, dating Perimeter E-Security. "Para sa karamihan ng mga kumpanya ay magiging mas mura at maglingkod sa kanilang mga customer nang mas mahusay kung wala silang gagawin kahit anong mangyari. Mas mabuti kang maghintay para sa merkado na mapilit ka na gawin ito, " sabi ni Viega.
Masyadong mahal
Si Viega ay hindi lamang kasalungat at hindi sumasang-ayon sa Adobe's Arkin. Siya ay dating nagtrabaho sa seguridad ng produkto sa McAfee at "hangga't maaari nating sukatin, ito ay isang ganap na pag-aaksaya ng pera, " aniya.
Halimbawa, isang taon, ang McAfee ay may tatlong pinahayag na publiko na mga bahid ng seguridad, na nagkakahalaga ng mas mababa sa $ 50, 000 na kabuuang upang makitungo, sinabi ni Viega. Ang figure ay kasama ang lahat ng mga komunikasyon at oras na kinuha upang bumuo at subukan ang pag-aayos. Sa kaibahan, ang isang komprehensibong programa ng seguridad ng software, sa kaibahan, ay nagkakahalaga ng milyun-milyong dolyar sa kumpanya ng direktang gastos, at higit pa sa hindi direktang mga gastos, tulad ng pagkawala ng pagiging produktibo, aniya. Hangga't maaari niyang sabihin, ang kumpanya ay "gumawa ng masamang trabaho ang masamang tao, " ngunit hindi sapat upang bigyang-katwiran ang mga gastos.
"May isang buong klase ng mga kumpanya kung saan hindi makatuwiran na gumawa ng anupaman, " sabi ni Viega.
Bagaman mahalaga ang seguridad, hindi dapat ito ang puwersa sa pagmamaneho, iminungkahi ni Viega. Inihambing niya ang sitwasyon sa industriya ng sasakyan. Kung ang kaligtasan ay ang "pinaka-mahalaga, " pagkatapos ay "magkakaroon tayo ng mga kotse na hindi lalabas ng higit sa 5 milya bawat oras, " aniya. Ang pagtingin sa mga gastos sa ekonomiya ay nakakatulong upang malaman kung saan dapat ang mga trade-off.
Para sa Adobe, ang paghihintay sa paligid ay masyadong mahal, kaya tinitiyak nila ang seguridad ng software ay isang pangunahing bahagi ng proseso ng pag-unlad ng produkto, mula sa konsepto, disenyo, coding, pagsubok, at pag-deploy. Ang kumpanya ay nagsasagawa ng malawak na pagsasanay sa seguridad para sa lahat ng mga inhinyero, anuman ang antas ng kasanayan at karanasan, upang matiyak na tinitingnan ng lahat ang seguridad sa isang pinag-isang paraan.
Pag-aayos ng Bawat Little Bug
Maingat na ituro ni Arkin na habang ang kumpanya ay gumugol ng isang malaking halaga ng oras at mga mapagkukunan sa paghahanap at pag-aayos ng mga kahinaan sa panahon ng proseso ng pag-unlad, ang layunin ay hindi puksain ang bawat solong posibleng bug. Ito ay isang mas mahusay na paggamit ng enerhiya at pera ng koponan upang matugunan ang mga kategorya ng mga bug, aniya.
"Kung inaayos mo ang bawat maliit na bug, inaaksaya mo ang oras na nagamit mo upang mapagaan ang buong klase ng mga bug, " sabi niya.
Sa pangkalahatan, ang mga customer ay walang paraan upang malaman kung aling kumpanya ang isang barko-ito o ayusin ang kumpanya, sinabi ni Viega. Ang mga mamimili ay hindi sapat na masigasig, at hindi nila palaging iniisip ang tungkol sa seguridad ng application kapag sinusuri ang kanilang mga pagbili, aniya. "Uy, gumagamit pa rin ang mga tao ng Adobe, " sabi ni Viega.
Maaari bang mayroong ilang uri ng isang pamantayan upang sabihin kung ang isang naibigay na software ay isang "ayusin ito" na produkto o hindi? Hindi pinasiyahan ni Viega ang posibilidad, dahil sa kahit na isang bote ng tubig ay may isang label na may impormasyong nutrisyon na nakalimbag.
