ACM通信
的观点
为网络安全设计用户激励机制
照片:wwwuppertal;拼贴:Alicia Kubista / Andrij Borys Associates
管理软件漏洞和网络安全风险的传统“补丁”方法没有达到预期的效果。理论上,一旦漏洞被发现,软件补丁应该由生产者快速开发和发布,然后由用户快速应用。这一过程的成功完成将有助于维护安全的系统。然而,在实践中一直观察到的是,这个过程反而会失败。7特别值得关注的是,当前的方法未能充分解决用户决定给系统打补丁的经济激励。我们建议对软件生产者产品(“版本”)进行一个简单的调整,涉及用户的补丁权利,并讨论为什么这个改变会使补丁方法更有效。
特别地,我们主张应该向用户收费正确的控制他们自己的软件拷贝的补丁。也就是说,用户选择是否安装补丁的能力不应该再是一种隐含的权利。更确切地说,如果用户希望保留选择是否以及何时打补丁的能力,就需要付出一定的代价;可以将此费用看作是造成额外安全风险(可能是暂时的)的代价,这会对其他用户和软件生产者产生负面影响。如果用户选择放弃这一权利,并且不支付溢价,那么一旦安全补丁发布,系统就会自动更新为安全补丁。不同的是,用户可以选择是购买自动更新的“折扣”默认版本,还是“高级”版本,其中包括在自己方便的时候打补丁的权利,甚至根本不打。
没有发现记录