Простого информирования народа об уязвимостях недостаточно. Потому что спрос формируют, мягко выражаясь, не самые умные пользователи. А для массовых продуктов – и вовсе школота с домохозяйками. Эти багрепортов не читают, чтоб не думатьрасстраиваться лишний раз. А при заражении вирусом начинают сетовать, что компьютер китайской сборки попался.
Другой предложенный способ – различные виды сертификации. Работает весьма ограниченно из-за своей принципиально нерыночной природы. Стоит немного ослабить контроль или допустить толику коррупции в сертифицирующих органах – и механизм перестаёт работать во благо, начиная приносить зло. Что "справка о защите" не имеет ничего общего с защитой, мы все убедились на собственном опыте.
Вот, например, в гражданской авиации каждый инцидент можно подробно расследовать. Независимой комиссией. А по итогам расследования учинить производителю хоть и не очень рыночный, зато финансово-чувствительный фидбек. Когда инцидентов – как в отрасли ИТ – несколько миллионов в сутки, механизм независимого расследования невозможен.
"Судьёй" для софта должен быть именно пользователь, больше просто некому. Но кроме механизма оценки защищённости ему ещё потребуется способ доведения своего решения до производителя. То самое пресловутое "голосование рублём", которое неплохо работает при традиционных методах продаж традиционных товаров, в области софта не канает. Потому что продажкак таковых тут нет, есть лишь лицензирование. И ещё принцип "as is" . А лицензионное соглашение – негодная голосовалка. 
Защищённость можно купить (2)
Защищённость можно купить (2)
Вчера мы пришли к парадоксальной мысли о вреде конкуренции. Во всяком случае, о её неполезности для защиты выпускаемого софта. Что подтверждается историей.
Для преодоления этого безобразия нужно создать обратную связьмежду таким качеством продукта, как защищённость и прибылью производителя.
Простого информирования народа об уязвимостях недостаточно. Потому что спрос формируют, мягко выражаясь, не самые умные пользователи. А для массовых продуктов – и вовсе школота с домохозяйками. Эти багрепортов не читают, чтоб не думатьрасстраиваться лишний раз. А при заражении вирусом начинают сетовать, что компьютер китайской сборки попался.
Другой предложенный способ – различные виды сертификации. Работает весьма ограниченно из-за своей принципиально нерыночной природы. Стоит немного ослабить контроль или допустить толику коррупции в сертифицирующих органах – и механизм перестаёт работать во благо, начиная приносить зло. Что "справка о защите" не имеет ничего общего с защитой, мы все убедились на собственном опыте.
Вот, например, в гражданской авиации каждый инцидент можно подробно расследовать. Независимой комиссией. А по итогам расследования учинить производителю хоть и не очень рыночный, зато финансово-чувствительный фидбек. Когда инцидентов – как в отрасли ИТ – несколько миллионов в сутки, механизм независимого расследования невозможен.
"Судьёй" для софта должен быть именно пользователь, больше просто некому. Но кроме механизма оценки защищённости ему ещё потребуется способ доведения своего решения до производителя. То самое пресловутое "голосование рублём", которое неплохо работает при традиционных методах продаж традиционных товаров, в области софта не канает. Потому что продажкак таковых тут нет, есть лишь лицензирование. И ещё принцип "as is" . А лицензионное соглашение – негодная голосовалка.
сертификация
оценка рисков
Простого информирования народа об уязвимостях недостаточно. Потому что спрос формируют, мягко выражаясь, не самые умные пользователи. А для массовых продуктов – и вовсе школота с домохозяйками. Эти багрепортов не читают, чтоб не думатьрасстраиваться лишний раз. А при заражении вирусом начинают сетовать, что компьютер китайской сборки попался.
Другой предложенный способ – различные виды сертификации. Работает весьма ограниченно из-за своей принципиально нерыночной природы. Стоит немного ослабить контроль или допустить толику коррупции в сертифицирующих органах – и механизм перестаёт работать во благо, начиная приносить зло. Что "справка о защите" не имеет ничего общего с защитой, мы все убедились на собственном опыте.
Вот, например, в гражданской авиации каждый инцидент можно подробно расследовать. Независимой комиссией. А по итогам расследования учинить производителю хоть и не очень рыночный, зато финансово-чувствительный фидбек. Когда инцидентов – как в отрасли ИТ – несколько миллионов в сутки, механизм независимого расследования невозможен.
"Судьёй" для софта должен быть именно пользователь, больше просто некому. Но кроме механизма оценки защищённости ему ещё потребуется способ доведения своего решения до производителя. То самое пресловутое "голосование рублём", которое неплохо работает при традиционных методах продаж традиционных товаров, в области софта не канает. Потому что продажкак таковых тут нет, есть лишь лицензирование. И ещё принцип "as is" . А лицензионное соглашение – негодная голосовалка. 
Ваш провайдер знает о вас больше, чем ваша девушка?
