Ѕольшинство »“ специалистов за обнародование подробностей у€звимостей

“еги: Gartner, Microsoft

Ѕолее половины из 340 специалистов, посетивших саммит Gartner по »“-безопасности, а именно 57%, считают, что специальные лаборатории, раскрывающие у€звимости, делают полезное дело.

Ѕолее половины из 340 специалистов, посетивших саммит Gartner по »“-безопасности, а именно 57%, считают, что специальные лаборатории, раскрывающие у€звимости, делают полезное дело. 22% сказали, что де€тельность таких организаций отвлекает и заставл€ет обновл€ть программное обеспечение чаще. ќбсуждение политики раскрыти€ у€звимостей было одной из главных тем меропри€ти€.

ќбсуждались три возможности: раскрытие у€звимостей только авторам ѕќ, полное публичное раскрытие и отсутствие раскрыти€ вообще. ¬ысказывались разные мнени€. “ак, технический директор Errata Security даЄт разработчикам 30 дней, а глава Matasano Security считает, что необходимо подождать, пока у€звимость не будет устранена, вне зависимости от времени.

—порили также и на тему того, сколько средств следует выдел€ть на безопасность при разработке программ. ¬ысказывали мнени€, что от 10% до 25% от бюджета проектов. ѕо словам технического директора Veracode, устранение ошибки после выхода программного продукта стоит примерно в 100 раз дороже, чем в ходе разработки.

≈щЄ один опрос, проведЄнный Gartner на саммите, показал медлительность »“-департаментов при обновлении программ. ¬ августе, после по€влени€ критической у€звимости DNS в Windows, 30% опрошенных ждали патча от Microsoft, 20% отключили у€звимый сервис. “олько 7% установили патч сторонних разработчиков, а 23% вообще не знали о существовании у€звимости.

или введите им€

CAPTCHA
1
13-06-2007 09:30:49
ј куда еще 20% дели?
0 |
1
13-06-2007 09:51:14
а остальные 20 - это сами microsoft они затруднились ответить =) может отключали, может патча ждали, а может и совсем не знали...
0 |
1
05-07-2007 22:21:48
ƒругие 20% могли воспользоватьс€ workaround'ом от мс. —огласно которому можно устранить у€звимость. ѕравда, при этом потер€в возможность удаленного управлени€ сервисом.
0 |
1
13-06-2007 11:44:34
ћне больше понравилось про процент отключивших этот сервис. ¬идимо, все резко бросились WINS подымать. »ли по старинке - /etc/hosts
0 |
FSA
13-06-2007 18:31:03
¬ообще-то есть така€ штука - BIND-PE, тот же BIND, только под венду. Ќе знаю в каком он сейчас состо€нии, но раньше мы его использовали.
0 |