如果你是Microsoft、Adobe或任意其他主要的商業軟體廠商，千萬不要給大陸航空公司的首席資訊安全官Tim Stanley添堵，他不是被大量急需修復的bug纏身就是缺乏應對那些問題的資源。
 　　“不要告訴我你下決心修復漏洞的痛苦，我不關心這些。你本身就是幹軟體行業的，那些代碼是你寫出來的，出現的問題也應該由你來解決。如果你不能處理好，就不要在那行混飯吃。”
 　　Metasploit的創建者HD Moore在開場白中談到了從發現bug到補丁發佈的時間跨度，微軟的高級安全戰略家Katie Moussouris認為廠商和研究人員之間保持持續的溝通非常重要。Stanley代表了廣大的用戶，他們是漏洞披露辯論中常常被忽視的群體。通常這些辯論會的觀點都出自研究人員或廠商，但此次2010 RSA大會的小組討論中Stanley站上了發言台，他是Microsoft和Adobe的一位元大客戶。Stanley並沒有將太多時間浪費在發牢騷上，他敏銳地抨擊了一些廠商和研究人員的開場白內容。


 　　“我很欣賞廠商和研究人員之間的友好溝通，但坦白來說，我很不滿意他們的做法。我是用戶，產品的費用是由我來支付的，我有理由要求漏洞在第一時間內被修復好。我煩透了各層關係帶來的延時。微軟知道了某個bug，研究人員知道了這個bug，而我是這一軟體的最終付費者。什麼時候才輪到我弄清楚問題呢？”
 　　Stanley說：“現在的問題出在人們支付了產品的費用，他們需要瞭解進展的具體情況。”
 　　Stanley引發的這一論調旗幟鮮明，不屬於以往的任何常規討論主題：廠商分類和bug補丁修復的優先次序，零日漏洞如何影響補丁週期，以及回歸測試和補丁的穩定性。


 　　例如，Moore稱漏洞披露問責有誤——責任在廠商。研究人員受惠于廠商，他們會將bug通告給廠商，再由廠商決定這一發現何時公開。“如果你有證據證明外界已發生相應的漏洞攻擊，而廠商還沒有發佈補丁來進行修復，這種情況下是廠商還是你不負責任沒有上報呢？”
 　　Adobe的產品安全和隱私主管Brad Arkin稱，外界發出的有關其Flash and Reader產品的bug會被列入較高的優先順序。Arkin說他的團隊會首先試圖再現問題情況，並基於問題細節公開的程度確定它給用戶帶來的風險級別。
 　　Arkin說：“如果漏洞的詳情已完全公開，補丁修復就要以更快的速度完成。我們會努力將漏洞範圍縮小，但這種情況下的成本會更高。我們隨後會修復其他的bug。”
 　　Katie Moussouris稱微軟採取的也是類似的方式。


 　　“當研究人員報告某一漏洞時，我們並不一定會調動所有資源來應對這一漏洞。舉個例子，如果外界發現微軟出現了嚴重漏洞，但我們之前發現的內部漏洞有可能比這一漏洞的優先順序更高，更容易被攻擊。廠商需要向研究人員表示其正在解決他們提出的問題，但發現了一些回歸測試或變種，需要優先處理其他一些問題。”
 　　微軟的安全開發生命週期(SDL)在很多方面已成為將安全引進軟體設計和測試的行業標準。Windows安全已收緊了作業系統的連續迭代，而且其例行補丁發佈已簡化了全球IT部門規劃。Moussouris說，微軟過去那段基本上將QA測試外包給客戶的安全更新歷程已一去不復返了。
 　　Moussouris對Stanley說：“有些更新一次又一次地發佈出來是因為它們打破了共同的安裝環境，你不關心可能由此引發的資源分配難點，但我可以肯定你會關心你系統的穩定性。”

姓　名:
E-mail:
聯絡電話:
驗證碼:
意見與問題: