ACM通信
隐私和安全
迈向更安全的软件
去年,美国国家标准与技术研究所(NIST)向国家漏洞数据库(NVD)增加了7937个漏洞,比2013年的5174个有所增加。大约每天22个,或者几乎每小时一个。其中,1912例(24%)被标记为“高度严重”,7243例(91%)被标记为“严重”。“高”或“中等”。7简单地说,它们不能被忽视。
当我读到关于新的漏洞和它们带来的风险的报告时,我想知道这种情况是否会结束。我们的软件产品是否足够安全,以至于这样的报告很少?或者,随着越来越多的软件进入市场,它们只会变得越来越普遍,而随着软件越来越多地控制网络医疗设备和其他执行生命攸关功能的产品,它们会变得越来越危险吗?
评论
马可·阿尔瓦拉多
作为一名软件开发人员,这些替代方案都不能给我真正的解决方案。
第一个问题产生了前面提到的共谋问题。
第二个可能会偏离法律要求。就像汽车行业的情况一样,财务计算可能表明,“如果”有人利用相关问题,最好不要解决问题,而是支付罚款。
然而,当从这两种选择中进行选择时,责任以较大的优势获胜。
对我来说,作为安全专家,主要问题与责任无关,而是与现有的漏洞有关。因为法律程序将持续数年,而我客户的数据将在等待中被牺牲。
我坚信真正的解决办法是在学校。在建造大坝或做脑部手术的过程中,软件必须提供一级公民身份(具有权利和要求)。低于此标准的产品将始终提供充满安全漏洞的低质量产品。
因为,创建好的软件是一项非常专业和要求很高的任务,需要好的基础和工具。任何人都可以制作不安全的软件,区分稻草和黄金是很重要的。
显示1评论