Η Oracle βρίσκεται σε ζεστό νερό αυτή την εβδομάδα πάνω από ένα blog που γράφτηκε από τον επικεφαλής ασφαλείας της Mary Davidson. Η θέση, αν και καλύπτει μια σειρά θεμάτων, αφορά κυρίως την πρακτική της αναφοράς πιθανών αδυναμιών ασφάλειας στην Oracle. Συγκεκριμένα, γιατί δεν πρέπει.
"Πρόσφατα, έχω δει μια μεγάλη ανοδική τάση στους πελάτες, αναστρέφοντας τον κώδικα μας για να προσπαθήσουμε να βρούμε ευπάθειες ασφαλείας σε αυτό. Αυτός είναι ο λόγος για τον οποίο έχω γράψει πολλές επιστολές σε πελάτες που ξεκινούν με "hi, howzit, aloha", αλλά τελειώνουν με "παρακαλούμε να συμμορφώνεστε με τη συμφωνία άδειας χρήσης σας και να σταματήσετε την αντίστροφη μηχανική τον κώδικα μας, ήδη".
Ο Davidson εξηγεί ότι υπάρχει ένας αυξανόμενος αριθμός πελατών με συνείδηση της ασφάλειας που είναι λογισμικό Oracle ανάστροφης τεχνολογίας που αναζητούν ευπάθειες ασφαλείας (ή προσλαμβάνουν συμβούλους για να το κάνουν γι 'αυτούς). Ο Davidson κατηγορεί αυτούς τους πελάτες ότι παραβιάζουν τις συμφωνίες παραχώρησης άδειας χρήσης τους, δεν λαμβάνουν προληπτικά μέτρα ασφάλειας, προσπαθούν να κάνουν τη δουλειά της Oracle για αυτούς και γενικώς να είναι κακοί. Εάν ο πελάτης έχει βρει μια πραγματική ευπάθεια, ενώ η Oracle θα το διορθώσει.
"Ακριβώς μ 'μισώ να απαντήσω σε αυτή την ερώτηση γιατί θέλω να επαναλάβω ότι οι πελάτες δεν πρέπει και δεν πρέπει να αναστρέψουν τον κώδικα μας. [...] δεν θα δώσουμε σε έναν πελάτη που αναφέρει ένα τέτοιο ζήτημα (ότι ανακάλυψε μέσω αντίστροφης μηχανικής) μια ειδική (εφάπαξ) ενημερωμένη έκδοση κώδικα για το πρόβλημα. Επίσης, δεν θα παράσχουμε πίστωση σε τυχόν συμβουλές που ενδέχεται να εκδώσουμε. Δεν μπορείτε πραγματικά να περιμένετε από μας να σας πούμε "σας ευχαριστώ για την παραβίαση της άδειας χρήσης." "
Αυτό δεν συνέβη καλά στην κοινότητα ασφαλείας και η θέση κατελήφθη γρήγορα - αν και όχι πριν από την αναπαραγωγή ενός νέου hashtag Hashtag Activism: #powerful ή #pointless; Hashtag Ακτιβισμός: # ισχυρός ή # άσχημος; #BringBackOurGirls, #ICantBreathe και #BlackLivesMatter έχουν δει μια ευρεία διεθνή κάλυψη τον περασμένο χρόνο - αλλά τα hashtags αποτελούν αποτελεσματικό μέσο ακτιβισμού; Διαβάστε περισσότερα .
"Ελέγξτε πρώτα το EULA της Enigma", δήλωσε ο Alan Turing. # oraclefanfic
- Thorsten Sick (@ThorstenSick) στις 11 Αυγούστου 2015
Αλλά, αν δεν είστε εξοικειωμένοι με τον κόσμο της ασφάλειας, ίσως να μην είναι προφανές γιατί η αρχική θέση είναι τόσο λανθασμένη. Έτσι, σήμερα, πρόκειται να μιλήσουμε για το πού η φιλοσοφία της ασφάλειας της Oracle αναχωρεί από το mainstream, και γιατί είναι ένα πρόβλημα.
Εξηγήστε τη διαμάχη
Λοιπόν, τι ακριβώς είναι η αντίστροφη μηχανική και γιατί είναι τόσο ανησυχούν για αυτό το Davidson; Βασικά, όταν η Oracle κυκλοφορεί ένα κομμάτι λογισμικού, "μεταγλωττίζει" τον εσωτερικό πηγαίο κώδικα σε εκτελέσιμα αρχεία και, στη συνέχεια, τα παραδίδει στους πελάτες. Η σύνταξη είναι μια διαδικασία που μεταφράζει κώδικα αναγνώσιμο από τον άνθρωπο (σε γλώσσες όπως το C ++ 3 Websites για να ξεκινήσετε με τη Γλώσσα προγραμματισμού C ++ 3 Websites για να ξεκινήσετε με τη Γλώσσα προγραμματισμού C ++ Η εκμάθηση του προγράμματος μπορεί να είναι δύσκολη για πολλούς ακόμα και με σχετικά εύκολες γλώσσες προγραμματισμού Ενώ η Java είναι πιο εύκολο να ξεκινήσετε με (όπου έχουμε πολλά άρθρα εδώ στο MakeUseOf για Java καθώς και ... Διαβάστε περισσότερα) σε μια πυκνότερη δυαδική γλώσσα που μπορεί να τροφοδοτηθεί απευθείας σε έναν επεξεργαστή υπολογιστή.
Ο πηγαίος κώδικας της Oracle δεν είναι δημόσιος. Αυτό έχει ως στόχο να καταστήσει πιο δύσκολο για τους άλλους να κλέψουν την πνευματική ιδιοκτησία τους. Ωστόσο, σημαίνει επίσης ότι είναι πολύ δύσκολο για τους πελάτες να επαληθεύσουν ότι ο κώδικας είναι ασφαλής. Στο σημείο αυτό τίθεται σε εφαρμογή η «αποσυμπίληση». Βασικά, η αποσυμπίληση μεταφράζεται προς την άλλη κατεύθυνση, μετατρέποντας τα εκτελέσιμα αρχεία πίσω σε κώδικα αναγνωρίσιμο από τον άνθρωπο. Αυτό δεν παρέχει ακριβώς τον αρχικό πηγαίο κώδικα, αλλά δίνει κώδικα που λειτουργεί με τον ίδιο τρόπο - αν και είναι συχνά δύσκολο να διαβαστεί, λόγω της απώλειας σχολίων και οργανωτικής δομής.
Αυτή είναι η "αντίστροφη μηχανική" στην οποία αναφέρεται το Davidson. Η Oracle είναι εναντίον της, επειδή πιστεύει ότι θέτει σε κίνδυνο την πνευματική τους ιδιοκτησία. Αυτό είναι τουλάχιστον λίγο ανόητο, επειδή η χρήση μιας άδειας χρήσης για την απαγόρευση της κλοπής IP είναι λίγο σαν τη χρήση ενός αυστηρά διατυπωμένου περιβλήματος για την αποτροπή εισβολής στο σπίτι. Τα είδη των ανθρώπων που πρόκειται να προσπαθήσουν να κλωνοποιήσουν τα προϊόντα σας δεν ενδιαφέρονται για συμφωνίες αδειοδότησης 4 τρόποι για να διαβάσετε και να κατανοήσετε ευκολότερα μια συμφωνία άδειας χρήσης τελικού χρήστη (EULA) 4 τρόποι για να διαβάσετε και να κατανοήσετε μια συμφωνία άδειας χρήσης τελικού χρήστη (EULA) Οι Συμφωνίες Άδειας Χρήσης με Άδεια Χρήσης (EULA) ή οι Συμφωνίες Άδειας Χρήσης Τελικού Χρήστη είναι ένα από τα κακά της σύγχρονης ζωής. Αυτές είναι ατελείωτες συμφωνίες, συνήθως γραμμένες σε μικρογραφίες. Αυτά είναι τα πράγματα που πατάτε τυφλά προς τα κάτω, αναζητώντας αυτό το darn ... Διαβάστε περισσότερα και συχνά δεν βρίσκονται σε δικαιοδοσίες όπου θα μπορούσατε να επιβάλλετε αυτές τις συμφωνίες σε κάθε περίπτωση.
Η ανθρωπότητα είναι καταδικασμένη ... # oraclefanfic #justoraclethings pic.twitter.com/e6MOZzkkvq
- CyberAnarchist (@ Cyb3rOps) στις 12 Αυγούστου 2015
Η πολιτική επηρεάζει πραγματικά μόνο τους νόμιμους πελάτες. Η κατάσταση είναι παρόμοια με αυτή του videogame DRM 6 Θέσεις για Αγορά DRM-Παιχνίδια [MUO Gaming] 6 Θέσεις για Αγορά DRM-Free Παιχνίδια [MUO Gaming] Δεδομένου ότι αποφάσισα να μην αγοράσω παιχνίδια από το Steam, πρέπει να βρω άλλα πηγές. Πολλοί από αυτούς είναι στην πραγματικότητα χειρότεροι από τον ίδιο τον Steam. Το κατάστημα της Ubisoft είναι γεμάτο από ενοχλητικά DRM. Η ηλεκτρονική τέχνη ... Διαβάστε περισσότερα, αλλά κάπως ακόμα πιο αναποτελεσματική.
Γιατί οι πελάτες θα επιθυμούσαν να αποσυμπιεστούν αυτά τα εκτελέσιμα; Είναι θέμα ασφάλειας. Έχοντας πρόσβαση στον πηγαίο κώδικα σας επιτρέπει να ψάχνετε για σφάλματα και πιθανά προβλήματα. Συχνά, αυτό γίνεται χρησιμοποιώντας λογισμικό που εκτελεί μια "στατική ανάλυση κώδικα" - μια αυτοματοποιημένη ανάγνωση του κώδικα, η οποία εντοπίζει γνωστά σφάλματα και επικίνδυνες πρακτικές λογισμικού που τείνουν να οδηγήσουν σε σφάλματα. Παρόλο που υπάρχουν εργαλεία που αναλύουν άμεσα το εκτελέσιμο αρχείο, η αποσυμπίληση του επιτρέπει γενικά βαθύτερες αναλύσεις. Αυτό το είδος στατικής ανάλυσης είναι ένα τυπικό εργαλείο του εμπορίου της ασφάλειας και οι περισσότερες εταιρείες που έχουν συνείδηση της ασφάλειας χρησιμοποιούν αυτό το λογισμικό εσωτερικά για να παράγουν κώδικες που είναι λιγότερο πιθανό να περιέχουν σοβαρά σφάλματα.
Η πολιτική της Oracle σε αυτό το είδος ανάλυσης είναι απλά "όχι." Γιατί; Θα αφήσω τον Davidson να εξηγήσει.
"Ο πελάτης δεν μπορεί να αναλύσει τον κώδικα για να διαπιστώσει εάν υπάρχει ένας έλεγχος που αποτρέπει την επίθεση που σκανδαλίζει το εργαλείο σάρωσης (το οποίο πιθανότατα είναι ψευδώς θετικό) [...] Τώρα, θα πρέπει να σημειώσω ότι δεχόμαστε μόνο σαρώστε τις αναφορές ως "απόδειξη ότι υπάρχει εκεί, εκεί", εν μέρει επειδή αν μιλάτε στατική ή δυναμική ανάλυση, μια αναφορά σάρωσης δεν αποτελεί απόδειξη μιας πραγματικής ευπάθειας. [...] Ω, και απαιτούμε από τους πελάτες / συμβούλους να καταστρέψουν τα αποτελέσματα μιας τέτοιας αντίστροφης μηχανικής και να επιβεβαιώσουν ότι το έχουν κάνει ».
Με άλλα λόγια, το εργαλείο που εμφανίζει ένα αποτέλεσμα δεν αποτελεί απόδειξη ενός πραγματικού σφάλματος - και, δεδομένου ότι η Oracle χρησιμοποιεί αυτά τα εργαλεία εσωτερικά, δεν έχει νόημα οι πελάτες να τις εκτελούν μόνοι τους.
Το μεγάλο πρόβλημα με αυτό είναι ότι αυτά τα στατικά εργαλεία ανάλυσης κώδικα δεν υπάρχουν μόνο για να φέρουν τα σφάλματα στην προσοχή σας. Υποστηρίζονται επίσης ότι αποτελούν στόχο για την ποιότητα και την ασφάλεια του κώδικα. Αν βυθίσετε την βάση κώδικα της Oracle σε ένα εργαλείο στατικής ανάλυσης βασισμένο σε βιομηχανικά πρότυπα και φουσκώνετε εκατοντάδες σελίδες ζητημάτων, αυτό είναι ένα πραγματικά κακό σημάδι.
Η σωστή απάντηση, όταν ένα εργαλείο στατικής ανάλυσης κώδικα εκτοξεύει ένα πρόβλημα, δεν είναι να εξετάσουμε το ζήτημα και να πούμε «οχι, όχι, αυτό δεν προκαλεί ένα σφάλμα, γιατί τέτοιου είδους». Η σωστή απάντηση είναι να εισέλθετε και να διορθώσετε το πρόβλημα. Τα πράγματα που επισημαίνονται με τα εργαλεία στατικής ανάλυσης κώδικα είναι συνήθως κακές πρακτικές εν γένει και η ικανότητά σας να προσδιορίσετε εάν ένα συγκεκριμένο ζήτημα προκαλεί ή όχι ένα σφάλμα είναι εσφαλμένο. Πάνω από χιλιάδες θέματα, θα χάσετε πράγματα. Είναι καλύτερα να μην έχετε τέτοια πράγματα στη βάση του κώδικα σας.
Εδώ είναι ο Oculus CTO John Carmack τραγουδώντας τους επαίνους αυτών των εργαλείων από την εποχή του στο iD Software. (Σοβαρά, διαβάστε ολόκληρο το δοκίμιο, είναι ενδιαφέροντα πράγματα).
"Είχαμε μια περίοδο όπου ένα από τα έργα κατά λάθος πήρε την επιλογή στατικής ανάλυσης απενεργοποιημένη για μερικούς μήνες, και όταν το παρατήρησα και την επανενεργοποίησα, υπήρχαν σωροί νέων σφαλμάτων που είχαν εισαχθεί ενδιάμεσα. [...] Αυτές ήταν επιδείξεις ότι οι κανονικές αναπτυξιακές λειτουργίες παρήγαγαν συνεχώς αυτές τις κατηγορίες σφαλμάτων, και η [στατική ανάλυση κώδικα] μας προστατεύει αποτελεσματικά από πολλά από αυτά ".
Εν ολίγοις, είναι πιθανό ότι πολλοί από τους πελάτες της Oracle δεν προσπαθούσαν αναγκαστικά να αναφέρουν συγκεκριμένα σφάλματα - ρωτούσαν γιατί οι πρακτικές κωδικοποίησης της Oracle ήταν τόσο κακές ώστε η βάση τους ήταν γεμάτη με χιλιάδες και χιλιάδες θέματα τόσο βασικά ώστε να μπορούν να διαλέξουν με αυτοματοποιημένο λογισμικό.
Είμαι ακόμα λυπημένος που ο Ήλιος έχει φύγει. Και ποια ήταν η μεγαλοφυία που τα πουλούσε στην Oracle; Αυτό μοιάζει με το να αφήνεις τον Ντάρτ Βαντερ να φροντίζει τα παιδιά σου.
- Brad Neuberg (@bradneuberg) στις 15 Αυγούστου 2015
Ασφάλεια με αυτοκόλλητα
Έτσι, τι θα κάνουν οι πελάτες που ενδιαφέρονται για την ασφάλεια, αντί να χρησιμοποιούν εργαλεία στατικής ανάλυσης; Ευτυχώς, η δημοσίευση του Davidson στο blog ήταν εξαιρετικά λεπτομερής σε αυτό το θέμα. Εκτός από την υπεράσπιση γενικών βασικών πρακτικών ασφαλείας, κάνει συγκεκριμένες προτάσεις για όσους ανησυχούν για την ασφάλεια του λογισμικού που χρησιμοποιούν.
"[Τ] εδώ είναι πολλά πράγματα που μπορεί να κάνει κάποιος πελάτης, gosh, πράγματι μιλάει με τους προμηθευτές για τα προγράμματα διασφάλισης τους ή ελέγχει τις πιστοποιήσεις για προϊόντα για τα οποία υπάρχουν καλές σφραγίδες καθαρισμού (ή" καλούς κώδικες ") όπως τα κοινά κριτήρια πιστοποιήσεις ή πιστοποιήσεις FIPS-140. Οι περισσότεροι πωλητές - τουλάχιστον, οι περισσότεροι από τους μεγάλους ιστούς που γνωρίζω - έχουν αρκετά ισχυρά προγράμματα διασφάλισης τώρα (το γνωρίζουμε αυτό επειδή όλοι συγκρίνουμε σημειώσεις σε συνέδρια). "
Αυτή είναι μια τρομακτική απάντηση από έναν οργανισμό τόσο μεγάλο όσο το Oracle. Η ασφάλεια των υπολογιστών είναι ένας ταχέως εξελισσόμενος τομέας. Νέες ευπάθειες βρίσκονται συνεχώς και η επισημοποίηση των απαιτήσεων ασφαλείας σε μια πιστοποίηση που ενημερώνεται κάθε λίγα χρόνια είναι παράλογη. Η ασφάλεια δεν είναι αυτοκόλλητο. Εάν πιστεύετε ότι ένα κομμάτι κρίσιμου λογισμικού είναι ασφαλές με βάση μια σφραγίδα στη συσκευασία, είστε ανεύθυνα ανόητος.
Τα εργαλεία στατικής ανάλυσης Heck, ενημερώνονται πολύ πιο συχνά από ό, τι οι πιστοποιήσεις αυτές - σε μερικές περιπτώσεις, καθημερινά - και εξαλείφοντας όλα τα θέματα που εμφανίζονται ακόμα δεν αρκεί για να έχεις μεγάλη εμπιστοσύνη στην ασφάλεια του κώδικα σου, σύνθετο που πρέπει να ανιχνεύεται από αυτά τα είδη αυτοματοποιημένων εργαλείων.
Ο μόνος τρόπος να αποκτήσετε εμπιστοσύνη στη δική σας ασφάλεια είναι να αποκαλύψετε τον κώδικά σας στον κόσμο και ζητήστε από τους χάκερ να προσπαθήσουν να το σπάσουν. Με αυτόν τον τρόπο λειτουργούν οι περισσότερες μεγάλες εταιρείες λογισμικού: αν βρείτε κάποιο πρόβλημα με τον κωδικό τους, δεν θα σας χυδαίνουν κατά λάθος για παραβίαση της συμφωνίας χρήσης. Θα σας πληρώσουν χρήματα. Θέλουν τους ανθρώπους να προσπαθούν όσο το δυνατόν καλύτερα να σπάσουν το λογισμικό τους όλη την ώρα. Είναι ο μόνος τρόπος για να έχουν οποιαδήποτε εμπιστοσύνη ο κώδικας τους είναι ασφαλής.
Αυτά τα προγράμματα ονομάζονται προγράμματα "bounty bug" και είναι το καλύτερο πράγμα που πρέπει να συμβεί σε επιχειρήσεις σε επίπεδο ασφάλειας εδώ και πολύ καιρό. Είναι επίσης, κατά τύχη, κάτι που ο Davidson έχει πολύ ισχυρές απόψεις.
"Τα Bug Bounties είναι η νέα μπάντα αγόρι (ωραία alliterative, όχι;) Πολλές εταιρείες κραυγάζουν, λιποθυμούν και ρίχνουν εσώρουχα σε ερευνητές ασφαλείας [...] για να βρουν προβλήματα στον κώδικα τους και επιμένουν ότι Αυτός είναι ο τρόπος, εσείς δεν κάνετε τα bugs, ο κωδικός σας δεν είναι ασφαλής.
Ας, βρισκόμαστε στο 87% των αδυναμιών ασφαλείας, οι ερευνητές της ασφάλειας βρίσκουν περίπου το 3% και οι υπόλοιποι βρίσκονται από τους πελάτες. [...] Δεν αμφισβητώ τα λεφτά των bugs, απλώς σημειώνοντας ότι σε αυστηρά οικονομική βάση, γιατί θα ρίξω πολλά χρήματα στο 3% του προβλήματος. "
Για αρχάριους, βάσει των αποτελεσμάτων αυτών των αναλύσεων στατικού κώδικα, μπορεί να αποδειχθεί ότι υπερβαίνει το 3% εάν τους πληρώσατε. Αλλά αποκλίνω. Το πραγματικό σημείο είναι αυτό: τα bug bounties δεν είναι για σας, είναι για μας. Θα μπορούσατε να βρείτε σφάλματα πιο αποτελεσματικά αν ξοδέψατε τα ίδια χρήματα στους ειδικούς της εσωτερικής ασφάλειας; Λοιπόν, πιθανώς όχι - αλλά ας ρίξουμε το Oracle σε κόκκαλο και υποθέσουμε ότι μπορούσαν. Ωστόσο, θα μπορούσαν επίσης να πάρουν τα χρήματα, να το τράπεζα και στη συνέχεια να μην κάνουν απολύτως τίποτα. Εάν η προκύπτουσα ασφάλεια είναι υπο-par, οι πελάτες θα ανακαλύψουν μόνο για αυτό χρόνια από τώρα που οι αριθμοί τους κοινωνικής ασφάλισης μυστηριωδώς τελειώνουν στο βαθύ web Πώς να βρείτε Active Sites κρεμμύδι & γιατί θα μπορούσε να θέλετε να Πώς να βρεί Active Sites κρεμμύδι & Γιατί μπορεί να θέλετε να Sites κρεμμύδι, έτσι ονομάζεται επειδή τελειώνουν με ". ONION", φιλοξενούνται ως Tor κρυφά υπηρεσίες - ένας εντελώς ανώνυμος τρόπος για να φιλοξενήσει ιστοσελίδες. Διαβάστε περισσότερα .
"Δεν υπάρχει ευπάθεια. Η EULA λέει έτσι". #oraclefanfic pic.twitter.com/cUfafDCWbv
- Schuyler St. Leger (@DocProfSky) 11 Αυγούστου 2015
Τα bounties bounties υπάρχουν στο μισό επειδή είναι ένας πραγματικά αποτελεσματικός τρόπος ταυτοποίησης των σφαλμάτων και το μισό επειδή είναι μια μορφή ασφάλειας που δεν μπορείτε να ψεύσετε. Μια γενναιοδωρία σφάλματος λέει αξιόπιστα στον κόσμο ότι τυχόν σφάλματα που απομένουν στον κώδικα είναι πιο ακριβά για να βρουν από το δηλωμένο γενναιοδωρία.
Τα Bug bounties δεν υπάρχουν για την εξυπηρέτησή σας, Oracle, υπάρχουν επειδή δεν σας εμπιστευόμαστε.
Ούτε πρέπει! Αρκετά μεγάλες εταιρείες επιτρέπουν την ασφάλεια να πέφτει από την τροχιά, όπως οι πολυάριθμες megabreaches Στόχος Επιβεβαιώνει μέχρι 40 εκατομμύρια Αμερικανικές Πελάτες Πιστωτικές Κάρτες Δυνητικά Hacked Target Επιβεβαιώνει Έως 40 εκατομμύρια Αμερικανικές Πελάτες Πιστωτικές Κάρτες Δυνητικά Hacked Target μόλις επιβεβαίωσε ότι ένα hack θα μπορούσε να έχει συμβιβαστεί τις πληροφορίες πιστωτικής κάρτας για έως και 40 εκατομμύρια πελάτες που έχουν ψωνίσει στα καταστήματά τους στις ΗΠΑ από τις 27 Νοεμβρίου έως τις 15 Δεκεμβρίου 2013. Διαβάστε περισσότερα δείχνουν πολύ καθαρά. Είστε ο δεύτερος μεγαλύτερος κατασκευαστής λογισμικού στον κόσμο. Είναι παράλογο να μας ζητήσετε να λάβετε τη λέξη σας ότι τα προϊόντα σας είναι ασφαλή.
Τι κάνει ο Davidson σωστός
Σε δίκαιη σχέση με τον Davidson, υπάρχουν στοιχεία αυτού που είναι εύλογα στο πλαίσιο. Πιθανότατα, πολλοί από τους πελάτες τους προβαίνουν σε φιλόδοξους ελέγχους του κώδικα της Oracle, χωρίς να αφιερώσουν χρόνο για να εξαλείψουν περισσότερα παγκόσμια ζητήματα ασφάλειας από τα συστήματά τους.
Οι "Advanced Persistent Threats" - εξειδικευμένες οργανώσεις χάκερ που προσπαθούν να αποκτήσουν πρόσβαση σε συγκεκριμένους οργανισμούς για να κλέψουν τα δεδομένα - είναι σίγουρα τρομακτικές, αλλά από τους αριθμούς είναι πολύ λιγότερο επικίνδυνες από τα εκατομμύρια ευκαιριακών ερασιτεχνών χάκερ με αυτοματοποιημένα εργαλεία. Κάνοντας τέτοιου είδους στατικές αναλύσεις εμπορικού λογισμικού, όταν δεν έχετε υιοθετήσει βασικά μέτρα ασφαλείας, μοιάζει πολύ με την εγκατάσταση μιας αίθουσας πανικού όταν δεν έχετε ακόμα κλειδαριά στην μπροστινή πόρτα.
Ομοίως, μάλλον είναι πραγματικά απογοητευτικό και δεν βοηθάει να παρουσιάζεται με την ίδια αυτοματοποιημένη ανάλυση ξανά και ξανά.
Ωστόσο, στο σύνολό της, το άρθρο αποκαλύπτει ορισμένες σοβαρά ξεπερασμένες ιδέες σχετικά με την ασφάλεια του συστήματος και τη σχέση μεταξύ προγραμματιστών και πελατών. Εκτιμώ ότι η δουλειά του Davidson είναι απογοητευτική, αλλά οι χρήστες που βγαίνουν από το δρόμο τους για να επαληθεύσουν την ασφάλεια του λογισμικού που χρησιμοποιούν δεν είναι το πρόβλημα. Εδώ είναι πρόεδρος της ευαισθητοποίησης της ασφάλειας, Ira του Winkler παίρνει σε αυτό:
"Η Oracle είναι μια πολύ μεγάλη και πλούσια εταιρεία, με προϊόντα που διανέμονται ευρέως και χρησιμοποιούνται για κρίσιμες εφαρμογές. Περίοδος. Έχουν την ευθύνη να καταστήσουν το λογισμικό τους όσο το δυνατόν πιο ισχυρό [...] Μπορεί να υπάρχουν πολλά ψευδή θετικά και συναφή έξοδα, αλλά αυτό είναι ένας παράγοντας [πώλησης] πολλών λογισμικών που έχουν πολλούς χρήστες. Είναι το κόστος της επιχειρηματικής δραστηριότητας. Είμαι βέβαιος ότι όλες οι εταιρείες λογισμικού έχουν τις ίδιες ψευδώς θετικές αναφορές. Δεν ακούω τους Microsoft et al. παραπονούνται. "
Εάν η Oracle δεν θέλει να συνεχίσει να λαμβάνει χιλιάδες ζητήματα που εντοπίζονται στα στατικά εργαλεία ασφαλείας, ίσως πρέπει να διορθώσουν αυτά τα χιλιάδες θέματα. Εάν ενοχλούνται από τους ανθρώπους που γυρίζουν τα ίδια μη-σφάλματα ξανά και ξανά, ίσως θα πρέπει να έχουν ένα σωστό πρόγραμμα γενναιόδωρων bug που έχει μηχανισμούς για την αντιμετώπιση επαναλαμβανόμενων υποβολών μη-ζητημάτων. Οι πελάτες της Oracle φημολογούν για υψηλότερο επίπεδο ασφάλειας και τους αποθαρρύνουν επειδή δεν είναι η σωστή απάντηση.
Παρόλο που η Oracle κατέλαβε και γενικά απείλησε τη θέση, ότι γράφτηκε καθόλου αποκαλύπτει μια βαθιά λανθασμένη κουλτούρα ασφάλειας εντός της Oracle. Η προσέγγιση της Oracle στην ασφάλεια δίνει προτεραιότητα στην προστασία της δικής της πνευματικής ιδιοκτησίας από την ασφάλεια και την ειρήνη του πελάτη - και αν εμπιστεύεστε το λογισμικό της Oracle με κρίσιμες πληροφορίες, θα πρέπει να φοβηθείτε το μωρό σας από εσάς.
Τι νομίζετε; Ανησυχείτε για τη φιλοσοφία της ασφάλειας της Oracle; Πιστεύετε ότι ο Davidson αντιμετωπίζεται πολύ σκληρά; Ενημερώστε μας στα σχόλια!