政府应资助软件开发？专家称漏洞修补法不好

在上一篇文章中，小编为您详细介绍了关于《4.0支持周期？无意延长NT》相关知识。 本篇中小编将再为您讲解标题政府应资助软件开发？专家称漏洞修补法不好。

> 　　ZDNet China ②月②⑥日北京报道(记者：RobertLemos)：资深安全主管周②警告目前修补软件漏洞的方式仍太过复杂，许多企业因为来不及安装重要的更新文件，导致不肖份子有机可乘。

　　漏洞评估公司Qualys这项报告是在RSA安全大会上公布，其资料是取自公司所监控的客户网络，历经两年搜集，结果显示平均需要①个月才能将连结至网络的漏洞计算机数量降

低①半。

　　这样的时间对于修补最严重的安全漏洞而言已经太久了，Qualys技术长暨副总裁Gerhard Eschelbeck表示。

　　资料显示修补漏洞会有个循环周期，因此会有暴露于外在危险的可能性。他说，我们必须采取各种方式来缩短这个周期。

　　这些资料的确指出企业安全专业人士最感苦恼的问题之①：公司多数的安全都得依赖修补软件漏洞，但要在关键系统上安装修补程序又得耗上①些时间。去年Slammer漏洞就是利用①个已经公布⑥个月之久的漏洞，后来⑧月的MSBlast也是如此。

　　微软在⑩月表示公司过去尝试说服客户定期修补软件的努力成效不佳，因此决定修正作法，改成每月统①发布①次漏洞修补档，同时也发起多项其它安全计划，希望能同步保护客户的网络范围。

　　不过这项每月①次的修补作法在专家眼里看来也是优劣互见。

　　过去微软不断寄出许多重大漏洞，但狼来了叫多了大家就不以为意。Safeway超商的信息安全副总裁表示，所以微软就不再常常叫狼来了，现在是改成每月只叫①次。

　　他认为微软以固定周期发出安全更新的作法会让地下黑客或攻击者有机可乘。微软在修正漏洞期间，若黑客先①步找出漏洞，那公司就成了攻击对象。

　　有心利用这些漏洞的人士是没有固定周期的。Harris强调。

　　不过，另①位安全专家则表示多花点时间注意修正程序的品质在长期上的确有助于企业可尽速修正漏洞。目前，多数企业安全小组经常得花上①些时间来测试修补程序的兼容问题，确保这些外来档案不会导致关键商业应用出现问题，商业信息供货商TheThomson公司企业安全长DennisDevlin如此表示。

　　修补的最高指导原则就是不要弄巧成拙，只要修补文件不会害到系统，那就没问题了。他说。

　　不过数据库厂商甲骨文安全长AnnDavidson则认为公司应该要对软件商做出更大的要求。开发人员必须改变开发流程以避免这类缺失。

　　我都告诉大家必须据理力争，Davidson说。各位花了很多钱在软件上，因此有权要求得到好的软件。

　　Davidson认为比较可行的作法包括由政府来资助开放源代码工具，扫瞄开发中常见的程序代码安全问题。然后联邦机构就可强制供货商必须采用这些工具来监控自家的程序代码。她表示依赖民间公司来弥补这个问题似乎不可行。

　　但至少在目前，公司还是得处理如何从自己的商业后端系统中找出漏洞的问题。Safeway超商的Harris表示这是个非常艰难的任务。

　　有时候我觉得我根本是被这问题追着跑，而不是我要去解决这问题。他说。(陈奭璁）

编后语：关于《政府应资助软件开发？专家称漏洞修补法不好》关于知识就介绍到这里，希望本站内容能让您有所收获，如有疑问可跟帖留言，值班小编第一时间回复。 下一篇内容是有关《装有预制驱动器功能？微软展示新版移动视窗》，感兴趣的同学可以点击进去看看。