Все новости от 14 июня 2005 г. Давайте ликвидируем пробел
Большинство людей согласится, что лучшее долгосрочное решение проблемы безопасности программного обеспечения заключается в том, чтобы сделать его внутренне более безопасным.
Почти каждый пробел в защите, который приводит к краже персональной информации, сбоям в работе сети, потере данных или порче веб-сайта, имеет в своей основе ошибку, являющуюся следствием плохо написанной программы.
По оценке аналитической фирмы Gartner, приблизительно 70% всех атак происходит на уровне приложений, а исправление ошибок в процессе разработки обходится гораздо дешевле, чем после выпуска продукта.
Так что же сдерживает прогресс, если в отрасли наблюдается широкое согласие по поводу долгосрочного решения проблемы безопасности? Дело в том, что между специалистами по традиционным средствам безопасности и разработчиками приложений существует глубокий языковой барьер.
По большей части это проблема непопадания в зону действия радара. Большинство организаций этого барьера просто не видит. Они не понимают, что просить разработчиков усилить безопасность продукта, уже находящегося в разработке, это все равно, что просить автопроизводителя добавить ремни и подушки безопасности и усилить кузов уже после того, как модель поступила на сборочную линию. Они игнорируют тот факт, что разработка ПО — это процесс, и что единственный способ повлиять на качество готового продукта — внести в этот процесс изменения.
Специалисты по безопасности хотят помочь разработчикам писать лучший код, но единственный известный им способ добиться этого — подбрасывать в топку проблемы уязвимости все новое ПО. Недавно SANS Institute опубликовал отчет, демонстрирующий, что хакеры и писатели вирусов сегодня нацеливаются на те продукты, которые корпорации используют для защиты своих сетей. Фактически, теперь, когда разработчики операционных систем, такие как Microsoft, кажется, поняли, как лучше защитить свои продукты, хакеры все чаще делают своей мишенью именно антивирусные программы.
Итак, хакеры атакуют программы, защищающие наше ПО.
Означает ли это, что нам следует добавить еще один, более высокий уровень защиты? Надо ли создавать новое ПО для защиты программ, которые защищают наше ПО?
Запутались? Не только вы.
Профессиональные разработчики живут в мире, который существенно отличается от мира специалистов по безопасности. Разработка — это процесс, шаги и правила которого четко определены, а нарушение может привести к срыву сроков разработки и начала поставок, что очень расстроит руководство, отдел продаж и даже акционеров.
Компаниями, специализирующимися на разработке, движет необходимость быстро выпустить продукт на рынок и требование новых возможностей, а не потребность в создании более безопасного кода. Только в самых серьезных случаях пробелы в защите приводят к тому, что производитель принимает некие меры, чтобы исправить ситуацию в процессе разработки. Большинство разработчиков не понимают первого правила разработки и тестирования - объединяя две строчки надежного кода, можно получить уязвимый результат.
Софтверной индустрии нужен согласованный общий язык для общения между разработчиками и специалистами по безопасности. Ей необходим стандарт для интеграции в существующий жизненный цикл процессов безопасности, ролей и артефактов — с минимальными затратами и влиянием на сроки выпуска продуктов. Даже если это многоступенчатый путь, и чтобы пройти его, потребуется время, такой стандарт станет важным первым шагом по улучшению безопасности ПО.
Без такого стандарта не обойтись, если мы собираемся действительно изменить способ разработки ПО и повлиять на уровень безопасности конечных продуктов.
Об авторе:
Кевин Кернан, ветеран рынка разработки приложений с 17-летним стажем, — генеральный директор и соучредитель компании Secure Software.
В продолжение темы:
|
|
| Yuri 14 Jun 2005 11:22 PM |
Основная проблема на самом деле заключается в том, что заказчики и потребители программных продуктов попросту не готовы всерьез платить за безопасность и надежность. Если бы это было не так - то уже давно манера продавать все под лицензией as is сменилась бы на другую, с финансовой ответственностью разработчиков перед потребителями, и такие программы имели бы на рынке реальные конкурентные преимущества. Разработчики страховали бы свои риски, страхователи давали бы скидки фирмам, доказавшим свою надежность, и наоборот повышали платежи для тех, кто уже был замечен в халатности, и т.д. Т.е. рынок все расставил бы по местам. А пока этого нет - не будет и этой самой безопасности и надежности. Потому как фирмы выдают не то, что хорошо и правильно, а то, за что им хорошо платят. |
|
| dr-Wicked 15 Jun 2005 1:43 PM |
Полностью согласен. |
|
| Vitalij 15 Jun 2005 11:57 PM |
Угу а ОС стоилобы около 1000$ а потом суды былибы завалины исками даже для идеальныч программ, во первых от идеотов которые не умеют ими пользоваться, или от косячных работников у которых всегда веноват компьютер |
|
| Ender 16 Jun 2005 7:06 AM |
Или например ОС поставлялась бы зашитая в ПЗУ, чтобы никакой идиот не смог установить в нее ничего лишнего. |
|
| VicTor 16 Jun 2005 9:28 AM |
2 Редакция: "До большинства разработчиков не доходит первое правило безопасного кодирования и тестирования: при составлении вместе двух безукоризненно написанных строк кода могут образоваться новые уязвимости." Мне, как разработчику, недоступен смысл этой фразы. А вот смысл этой же фразы на языке оригинала вполне понятен: Most developers don't understand the first step of secure coding and testing: that by putting two properly written lines of code together, you can actually introduce new vulnerabilities. Может быть переводчик нужен с опытом разработки? |
|
| Ося 16 Jun 2005 10:21 AM |
2 Yuri: > Основная проблема на самом деле заключается в том, что заказчики и потребители программных продуктов попросту не готовы всерьез платить за безопасность и надежность. В сутках 24 часа. Все бы еще под СуперНадежнымДОС работали, вместо Windows. Можно еще помечтать, что было бы если ось на Ada, Pascal, Modula-2 писали, а не на C. Процентов 80 проблем с безопасностью - работа со строками. |
|
| Редакция - orgzdnet.ru 16 Jun 2005 10:23 AM |
2VicTor: Может быть предложите свой вариант перевода? |
|
| Wintermute - devnul.ru 16 Jun 2005 10:34 AM |
"Большинство разработчиков не понимают первого правила разработки и тестирования - объединяя две строчки надежного кода, можно получить уязвимый результат." Так лучше? |
|
| Редакция - orgzdnet.ru 16 Jun 2005 10:48 AM |
2Wintermute: Спасибо. Так короче. 2VicTor: Вам так понятнее? |
|
| dr-Wicked 16 Jun 2005 2:58 PM |
А почему железо за килобакс - это нормально, а ось - нет? Может быть их бы не клепали так часто? А то они устаревают в процессе установки :). В своё время НТ была такой осью. Стоила по дешевле килобакса, но это была реальная альтернатива по надёжности. А сейчас? Мы хотим надёжную и новаторскую ось, а ведь это антонимичные понятия. А по поводу надёжности. Я вот к примеру, очень часто МС бетты использую в промышленном окружении (к примеру WSUS). Какая-то чертовщина. МС выпускает офигительно, другого слова не подобрать, надёжные бетты, и делает из них какие-то ненадёжные релизы. К примеру кто-нибудь мог себе представить 20 лет назад альфа-версию ос, с которой шёл в комплекте не отладчик и эмулятор, а программа для её установки? Невольно вспоминаются слова БГ: "За двадцать лет мир изменился". |
|
| VicTor 16 Jun 2005 4:50 PM |
2 Редакция и Wintermute: Спасибо. Именно это я и имел в виду. |
|
| Редакция - orgzdnet.ru 16 Jun 2005 4:54 PM |
Спасибо. Исправили. |
|
| Vitalij 16 Jun 2005 7:25 PM |
dr-Wicked >почему железо за килобакс - это нормально, а ось - нет? Потому что это дорого даже для железа. А сколько должен по вачему стоить компьютер в сборе с ПО (OS+Office+дрг) 5000$. И если речь идет о финанзовых гарантиях то каждая самая маленькая утилита будет стоить весьма не дешево. А идея высказаные "Yuri" полнейшая утопия. Вы не ответили что делать с милионами ложных исков в судах. И как быть с доказательствами. >В своё время НТ была такой осью. И гарантии на нее довали? И что это за ОС такая, может Windows NT. Так 2000 и XP ето ее продолжения. >Какая-то чертовщина. МС выпускает офигительно, другого слова не подобрать, надёжные бетты, и делает из них какие-то ненадёжные релизы. Вам это приснилось? Нет иногда интересные вещи уберают, но надежность.
|
|
| dr-Wicked 16 Jun 2005 7:50 PM |
Моё железо, дома, стоило на момент покупки чуть больше килобакса, ноутбуки имеют и сейчас ту же цену. Я имел ввиду НТ-3.51 в 1994 г.(именно с ней я понял что не мастдай), это была эпохальная ось (а гарантии при крупных внедрениях давали сами майкросы, посредством выездов специалистов /из Бизнес со скоростью мысли/) По поводу страховки рисков идея не столь утопичная, ведь даже возврат кредитов сейчас страхуют. А по поводу надёжности мне ничего не снится. Возможно мнение субъективно, но повторюсь От бетты мы ожидаем нестабильной работы, а в 2003 году половина серверов МС работали под беттой В2К3. От продакшн мы ожидаем стабильной работы, но пакеты обновлений в первый квартал после выхода просто штормят. Причём зачастую выходят в день продакшн. |
|
| Linfan 16 Jun 2005 9:01 PM |
dr-Wicked: Из ниже сказанного делаем логический вывод что утвеждение "не мастдай" пока не доказано :) Суперстабильная ось - это смэрть негрософта. Народ и сейчас не хочет с W2k на XP переползать, а ему уже Рогокопытного предлагают. Вместе с тем каждый виток разработки оси все сложнее и дороже. |
|
| dr-Wicked 16 Jun 2005 10:29 PM |
2 Linfan Не правда. Смерть мелкософта в нём самом. Он выживает независимых разработчиков из всех прибыльных сфер. В одном из постов Вы писали, что много людей ведутся на бренд МС. Я тоже к ним отношусь. Мне не понятно например, почему в работе с кирилицей, бесплатный MovieMaker раздирает, как обезьяну, Adobe Premier за тот же килобакс, а паленый видеоаксаль юзает на все 100% без навороченого Pinnacle и Matrox. У них что SDK на другом языке? Вот Вы будете кому доверять в заявленной функциональности ПО? Пример SAMBA - AD SUSE - FreeBSD Mono - .NET gcc - cl Но так ведь тоже нельзя. В мире загнулись практически все c++ компиляторы. Не gcc или cl используют только энтузиасты. Хреново в общем. Мы попадаем под машину Фабрик Софта. И OSF, как ни печально, только способствует этому. Толку в источниках финансирования, если навязывается стиль, методика разработки. Ща всплакну.
|
|
| Vitalij 16 Jun 2005 11:10 PM |
dr-Wicked >От продакшн мы ожидаем стабильной работы, но пакеты обновлений в первый квартал после выхода просто штормят. Причём зачастую выходят в день продакшн. То есть чем меньше пакетов обновления тем ОС надежний? Чесно говоря за весь период работы с ПК я лиш однажды действительно нуждался в последним, речь идет о GTA3 и обновление для DirectX. Большинство исправленных ошибок вы бы не когда не увидели. Для DOS ни каких обноцлений небыло, по вашему это эталон надежности. >Я имел ввиду НТ-3.51 в 1994 г Писалибы полностью Windows NT 3.51. Вероятно у вас сложилось субъективное мнение из-за того что это была ваша первая ОС с ядром отличным от DOS и файловой системой от FAT. Какое частье что угодно пиши в TurboC++ а она не виснет. >По поводу страховки рисков идея не столь утопичная, ведь даже возврат кредитов сейчас страхуют. По величине рисков возврат кредитов с "финансовой ответственностью разработчиков перед потребителями" и рядом не стоит. И к томуже страховка это не понацея, в прочем ее и нет. |
|
| dr-Wicked 16 Jun 2005 11:28 PM |
А я вот не могу в сеть войти на свежеустановленном коробочном виндоусе, по причине DCOM-RPC vulnerability. Так что приходится вставлять обновления в дистрибутив. Полагаю, что количество исправления являются косвенным показателем надёжности кода, в данном случае. По поводу того, как писать, Вы уж простите, построение запамятовал. |
|
| Dmitry "ZinCh" // dnbarena.ru 18 Jun 2005 4:09 PM |
dr-Wicked DW> А я вот не могу в сеть войти на свежеустановленном DW> коробочном виндоусе, по причине DCOM-RPC vulnerability. Советую поинтересоваться в том месте где ты живешь о наличии провайдеров интернета которые заботясь о своих клиентах используют файерволы... Даже если ты поставиш все апдейты безопасности все равно будет потенциальная угроза нахождения новых уязвимостей, пусть об это болит голова тех кому ты и так платишь деньги, а не у тебя. Ну если действовать по принципу "спасение утопающих дело рук самих утопающих", то тогда лучше обзавестись своим файерволом... |
|
| Павел - m_pashkamail.ru 19 Jun 2005 1:11 PM |
В принципе для появления надежного софта нет необходимости заламывать цену на него. Просто рынок - молодой, неустоявшийся. Все хотят чего-то нового, а чего не знают. Вот производители и клепают чего то, а зачем сами не понимают :). И потом деньги берут. А можно было бы вместо новых тем для рабочего стола сделать существующие инструменты надежными. И соответственно стоило бы те же деньги. Но. Рынок не готов. Пользователи не готовы.
|
|
| dr-Wicked 21 Jun 2005 11:08 AM |
2Dmitry "ZinCh" // dnbarena.ru У меня локалка, а настройка файрвола в процессе работы программы установки, это для меня ново. |
|
| Amix 25 Jun 2005 1:28 AM |
Павел дело сказал. :) |
|
| Mossy 19 Jul 2005 4:53 AM |
Давайте ликвидируем escape |
|
|