从安全产业诞生的时候开始,人们就认为应当将安全防护集成到硬件中,然后就可以一劳永逸。但这并不实际。你总是需要对其进行更新,这就是软件的问题。对于绝大部分的最终用户而言,更新硬件并不是可以考虑的选项。
那么软件公司是否应当因为编写了脆弱的代码而受到指责呢?
我们每个星期都可以在软件产品中发现53个漏洞。其中的80%同高度安全性相关。每周50这一数据已经进入了一个稳定的阶段,应该说是处于一个平衡点。个人而言我认为我们已经到了漏洞的转折点,随着功能强大的新的操作系统的上市,这一数字将会继续增加。
类似于微软的可信赖计算(Trusted Computing )有助于解决这一问题么?
可信赖计算有其积极的影响,但问题是它是否能够扭转这一趋势。这并不是数字就可以证明的。针对代码安全的漏洞扫描程序对于编写安全程序来说非常有用,但这些还未成熟的程序会提供很多虚假的报告。他们还会漏报大量真正的问题。也会有许多设计方面的问题扫描程序无法发现。因此,我并不认为关于漏洞的问题会在今后的二十年以内得到解决。
<页码:[1] [2] [3] [4] [5] 第3页、共5页 |
