וִידֵאוֹ: RSA ANIMATE: Changing Education Paradigms (נוֹבֶמבֶּר 2024)
SAN FRANCISCO - פאנל ועידת RSA של שני אנשים התמודד עם השאלה הפרובוקטיבית בראש ובראשונה: האם אבטחת תוכנה היא בזבוז זמן עבור מרבית החברות?
איש לא הציע כי חברות צריכות להתעלם מבאגים במוצריהן, אך השאלה הייתה יותר כיצד ומתי אמורים להתרחש תיקונים.
מיקרוסופט, אדובי, וכמה חברות אחרות דוגלות במחזור חיי פיתוח תוכנה מאובטח, בו מטופלים בעיות אבטחה בכל שלבי הפיתוח. ישנן עדיין חברות רבות המאמינות כי ניתן להשתמש בזמן ובכסף שהושקעו ביוזמות אבטחת תוכנה אלה במקומות אחרים, וזה יותר אינטרס שלהם פשוט לתקן באגים לאחר משלוח מוצרים.
מצד אחד, יש חברות כמו אדובי שצריכות להתמודד עם תוקפים מחויבים שמכוונים לנצל פגיעויות בתוכנה. "ניצול שעובד נגד Reader או Flash מסכן יותר ממיליארד מחשבים", אמר בראד ארקין של אדובי בפאנל. "עלות הוצאת התיקונים האלה כה גבוהה שאנחנו צריכים להשקיע את כל מה שאנחנו יכולים כדי לתקן את הבעיות לפני שנשלח, " אמר.
ומהצד השני, יש חברות שלעולם לא יראו החזר השקעה ביישום יוזמות לפיתוח תוכנה מאובטח, כך טוען חבר הפאנל ג'ון וייגה, סמנכ"ל SilverSky, לשעבר Perimeter E-Security. "עבור מרבית החברות זה יהיה הרבה יותר זול ולשרת את הלקוחות שלהם הרבה יותר טוב אם הם לא יעשו כלום עד שיקרה משהו. מוטב שתמתין שהשוק ילחץ עליכם לעשות את זה", אמרה וויגה.
יקר מדי
וייגה לא סתם הייתה מנוגדת ולא מסכימה עם ארקין של אדובי. הוא עבד בעבר על אבטחת מוצרים במקאפי, "ככל שיכולנו למדוד, זה היה בזבוז מוחלט של כסף", אמר.
לדוגמה, שנה אחת, היו למקאפי שלושה פגמי אבטחה שנחשפו בפומבי, שעלו פחות מ -50, 000 דולר להתמודד איתם, אמרה וגה. הנתון כלל את כל התקשורת ואת הזמן שנדרש לפיתוח ובדיקת התיקון. לעומת זאת, תוכנית אבטחה מקיפה של תוכנה, לעומת זאת, עלתה לחברה מיליון דולר בעלויות ישירות, ואף יותר מכך בעלויות עקיפות, כמו אובדן פריון, אמר. עד כמה שיכול היה לדעת, החברה "הפכה את העבודה של הבחור הרע לקצת יותר יקרה", אך לא הספיקה כדי להצדיק את העלויות.
"יש מעמד שלם של חברות בהן לא הגיוני לעשות דבר, " אמרה וייגה.
למרות שהביטחון הוא חשוב, זה לא צריך להיות הכוח המניע, הציעה וויגה. הוא השווה את המצב לתעשיית הרכב. אם הבטיחות הייתה "החשובה ביותר", אז "היו לנו מכוניות שלא יעלו יותר מ -5 מיילים לשעה", אמר. התבוננות בעלויות הכלכליות עוזרת להבין היכן צריך להיות הפיצויים.
עבור אדובי, ההמתנה היא יקרה מדי, ולכן הם מוודאים כי אבטחת תוכנה היא חלק עיקרי מתהליך פיתוח המוצר, החל מקונספט, תכנון, קידוד, בדיקה ופריסה. החברה מבצעת אימוני אבטחה נרחבים לכל המהנדסים שלה, ללא קשר למיומנות ורמת הניסיון, כדי להבטיח שכולם בוחנים את הביטחון בצורה אחידה.
תיקון כל באג קטן
ארקין הקפיד לציין שלמרות שהחברה השקיעה זמן משמעותי ומשאבים במציאת ותיקוני פגיעויות במהלך תהליך הפיתוח, המטרה לא הייתה לחסל כל באג אפשרי. שימוש טוב יותר באנרגיה ובכסף של הצוות כדי לטפל בקטגוריות של באגים, אמר.
"אם אתה מתקן כל באג קטן, אתה מבזבז את הזמן שהיית יכול להשתמש בו כדי להקל על כיתות שלמות של באגים, " אמר.
בדרך כלל אין ללקוחות דרך לדעת איזו חברה היא חברת ספינות או תיקונים, אמרה וייגה. הקונים אינם מספיק בקיאות, והם לא תמיד חושבים על אבטחת האפליקציה בעת הערכת הרכישות שלהם, אמר. "היי, אנשים עדיין משתמשים באדובי, " אמרה וייגה.
האם יכול להיות תקן כלשהו שיכול לדעת אם תוכנה נתונה היא מוצר "תקן את זה" או לא? Viega לא שלל את האפשרות וציין כי אפילו לבקבוק מים יש תווית עם מידע תזונתי מודפס.