Gartner IT Security Summit: уязвимости необходимо обнародовать
Более половины из 340 специалистов, посетивших саммит Gartner по ИТ-безопасности, а именно 57%, считают, что специальные лаборатории, раскрывающие уязвимости, делают полезное дело. 22% сказали, что деятельность таких организаций отвлекает и заставляет обновлять программное обеспечение чаще. Обсуждение политики раскрытия уязвимостей было одной из главных тем мероприятия, сообщил InformationWeek.Обсуждались три возможности: раскрытие уязвимостей только авторам ПО, полное публичное раскрытие и отсутствие раскрытия вообще. Высказывались разные мнения. Так, технический директор Errata Security даёт разработчикам 30 дней, а глава Matasano Security считает, что необходимо подождать, пока уязвимость не будет устранена, вне зависимости от времени.
Спорили также и на тему того, сколько средств следует выделять на безопасность при разработке программ. Высказывали мнения, что от 10% до 25% от бюджета проектов. По словам технического директора Veracode, устранение ошибки после выхода программного продукта стоит примерно в 100 раз дороже, чем в ходе разработки.
Ещё один опрос, проведённый Gartner на саммите, показал медлительность ИТ-департаментов при обновлении программ. В августе, после появления критической уязвимости DNS в Windows, 30% опрошенных ждали патча от Microsoft, 20% отключили уязвимый сервис. Только 7% установили патч сторонних разработчиков, а 23% вообще не знали о существовании уязвимости.
© CNews