Vídeo: Olesea Rașcu - mamă la 20 de ani, violență, divorț, căsătoria cu Valera și propria afacere (Setembre 2024)
SAN FRANCISCO: Un grup de conferències RSA per a dues persones va fer front a una pregunta provocativa: la seguretat del programari és una pèrdua de temps per a la majoria de les empreses?
Ningú no suggeria que les empreses havien d’ignorar els errors en els seus productes, però la pregunta era més sobre com i quan s’han de produir les solucions.
Microsoft, Adobe i algunes altres empreses defensen un cicle de vida de desenvolupament de programari segur, on es tracten problemes de seguretat durant totes les fases del desenvolupament. Encara hi ha moltes empreses que creuen que el temps i els diners invertits en aquestes iniciatives de seguretat de programari es podrien utilitzar en altres llocs, i és més interessant que només es solucionin els errors després del lliurament de productes.
D'una banda, hi ha empreses com Adobe, que han de fer front a atacants compromesos amb intenció d'explotar vulnerabilitats al programari. "Una explotació que funciona contra Reader o Flash posa en risc més de mil milions d'ordinadors", va dir Brad Arkin d'Adobe al tauler. "El cost de realitzar aquestes solucions és tan elevat que cal invertir tot el que podem per solucionar aquests problemes abans d'enviar", va dir.
I, a l’altra banda, hi ha empreses que mai obtindran un benefici d’inversions en la implementació d’iniciatives de desenvolupament de programari segures, segons el panelista John Viega, vicepresident executiu de SilverSky, anteriorment Perimeter E-Security. "Per a la majoria de les empreses serà molt més barat i servirà molt millor als seus clients si no fan res fins que passi alguna cosa. És millor esperar que el mercat faci pressió sobre que ho faci", va dir Viega.
Molt car
Viega no era solament estar en contra i estar en desacord amb l'Arkin d'Adobe. Antigament treballava en la seguretat del producte a McAfee i "pel que podíem mesurar era un malbaratament absolut de diners", va dir.
Per exemple, un any, McAfee va presentar tres defectes de seguretat publicats, que costaven menys de 50.000 dòlars per fer front, va dir Viega. La xifra inclou totes les comunicacions i el temps pres per desenvolupar i provar la correcció. En canvi, un programa de seguretat de programari integral, per contra, va costar a la companyia milions de dòlars en costos directes i, encara més, en costos indirectes, com la pèrdua de productivitat. Pel que va poder dir, l'empresa "va fer que la feina del dolent fos una mica més cara", però no suficient per justificar els costos.
"Hi ha tota una classe d'empreses on no té sentit fer res", va dir Viega.
Si bé la seguretat és important, no hauria de ser la força motriu, va suggerir Viega. Va comparar la situació amb la indústria automobilística. Si la seguretat fos la "més important", "tindríem cotxes que no superaran les 5 milles per hora", va dir. El fet de mirar els costos econòmics ajuda a esbrinar on haurien d’estar els compromisos.
Per a Adobe, esperar al voltant és massa car, de manera que s’asseguren que la seguretat del programari sigui una part important del procés de desenvolupament del producte, des del concepte, disseny, codificació, proves i desplegament. L’empresa realitza una àmplia formació en seguretat per a tots els seus enginyers, independentment del nivell d’habilitat i experiència, per garantir que tothom estigui mirant la seguretat d’una manera unificada.
S'estan solucionant cada petit error
Arkin va tenir molta atenció en assenyalar que, mentre que la companyia va gastar una gran quantitat de temps i recursos per trobar i arreglar vulnerabilitats durant el procés de desenvolupament, l’objectiu no era deixar de banda qualsevol error possible. Va dir un millor ús de l'energia i els diners de l'equip per abordar categories d'errors, va dir.
"Si solucioneu cada petit error, estigueu perdent el temps que podríeu haver utilitzat per mitigar classes senceres d'errors", va dir.
En general, els clients no tenen forma de saber quina empresa és una empresa naviliera o fixa. Va dir que els compradors no són prou experimentats i no sempre pensen en la seguretat de l’aplicació quan avaluen les seves compres. "Ei, la gent encara utilitza Adobe", va dir Viega.
Podria haver-hi algun tipus d’estàndard que indiqui si un determinat programari és un producte “arreglar-lo” o no? Viega no va descartar la possibilitat, remarcant que fins i tot una ampolla d’aigua té una etiqueta amb informació nutricional impresa.
