18 Апреля, 2013

Гонка уязвимостей

InfoWatch
Всё в этом мире временно. "Всё произошло из праха и все возвратится в прах." Имеют свой земной жизненный цикл и программные продукты, и баги, и уязвимости (закладки под прикрытием).

Если мы будем сокращать время жизни поколений софта, тем самым сократим и время жизни его уязвимостей. И вредоносных программ.

Сокращение жизненного цикла малвари должно снизить её рентабельность. Не исключено, что для некоторых видов это приведёт к убыточности. Не следует забывать, что за последние годы чёрный рынок непрерывно специализируется. Отдельные этапы работы делаются отдельными узкими специалистами. Цепочка производственных отношений андерграунда дробится сильнее и становится длиннее. А все звенья в ней связаны деньгами. Нет оплаты – цепочка обрывается.

В то же время ускорение смены поколений ПО – в интересах производителей. За новую версию с пользователя взимается новая оплата. Старые версии с выходом новых не дешевеют, а просто перестают продаваться (лицензироваться) и поддерживаться. Таким образом, большинству потребителей деваться некуда – приходится обновлять ПО.

Но ускорение имеет и побочный эффект. Скорость приводит к снижению качества. В том числе, софт содержит всё больше ненамеренных ошибок. На их предотвращение не очень выгодно тратить ресурсы. Экономисты давно поняли, что коэффициент возврата инвестиций (ROI) в сфере контроля качества ниже, чем в сфере разработки. Упрощённо говоря, выпустить программу быстрее, но бажистее оказывается сильно выгодней, чем выпустить её позже, но вылизанную до блеска. Глючность и уязвимость приводят к потерям ничтожного числа клиентов. Задержка же новой версии в условиях конкуренции может обернуться потерей рынка в целом.

Но уязвимости ещё надо успеть найти. Даже если их станет больше, но время жизни уменьшится, число найденных до окончания срока эксплуатации должно сократиться.

comments powered by Disqus