智者言:短不可護(hù),護(hù)短終短;長(zhǎng)不可矜,矜則不長(zhǎng)。
周末閑悠,胡亂上網(wǎng)消遣一段冬日暖陽(yáng)。可一上來(lái),就看見(jiàn)了自家電腦的360大曝起手機(jī)精靈、QQ手機(jī)助手、豌豆莢的“安全漏洞”,本以為又是“數(shù)字公司”與“企鵝鳥(niǎo)”再度擦槍走火,細(xì)讀之后,才發(fā)現(xiàn)竟然是360“自曝+通報(bào)”的一起行業(yè)提醒——混跡中國(guó)互聯(lián)網(wǎng)多年,看慣了中國(guó)軟件廠商打打殺殺、勾心斗角的血雨腥風(fēng),今天360的這幕戲,倒是還真有了點(diǎn)與眾不同的意味。
其實(shí),在軟件的發(fā)展過(guò)程中,漏洞也是形影不離。尤其在當(dāng)下的互聯(lián)網(wǎng)時(shí)代,軟件廠商想完全避免產(chǎn)品漏洞已經(jīng)是天方夜譚,且不說(shuō)那些身懷絕技、自學(xué)成才的黑客高手們,就是復(fù)雜多變的數(shù)據(jù)信息交互環(huán)境,也讓軟件廠商們對(duì)于產(chǎn)品設(shè)計(jì)漏洞防不勝防。由此,即使是非常成熟的視窗操作系統(tǒng),微軟公司定期升級(jí)修補(bǔ)漏洞也已經(jīng)成為常態(tài);世界知名的Adobe Systems,更是漏洞煩擾不斷,針對(duì)“Flash動(dòng)畫(huà)網(wǎng)頁(yè)”和“PDF閱讀器”,幾乎成為了黑客們比武練兵的“試驗(yàn)田”。
任何軟件都不可能100%地避免漏洞,這道理本極為淺顯。然而,在刺刀見(jiàn)紅的中國(guó)互聯(lián)網(wǎng)戰(zhàn)場(chǎng)上,“漏洞”一詞變了性。
長(zhǎng)期以來(lái),互曝“漏洞”、揭黑對(duì)手,已經(jīng)成為了中國(guó)軟件廠商市場(chǎng)相互攻擊的“不二利器”,同行之間利用曝光“漏洞”互揭傷疤,更是屢試不爽:今天說(shuō)某某軟件“隱私泄露”,明天說(shuō)某某對(duì)手將導(dǎo)致“系統(tǒng)崩盤(pán)”,而對(duì)自身的“漏洞”,則大多遮遮掩掩,輕描淡寫(xiě)……用戶(hù)利益更是成為了各大軟件廠商間爭(zhēng)奪市場(chǎng)份額的犧牲品。
言歸正傳,借著360這次自曝漏洞的行為,很想說(shuō),希望在中國(guó)網(wǎng)絡(luò)安全行業(yè)中樹(shù)立起一個(gè)正向的風(fēng)向,希望此舉能引導(dǎo)中國(guó)軟件廠商都能從用戶(hù)利益出發(fā),建立起廠商間的互信關(guān)系,至少在這種漏洞危機(jī)發(fā)生的時(shí)候,能把恩怨暫時(shí)放在一邊,而不要相互揭短、夸大漏洞,做到對(duì)用戶(hù)真正負(fù)責(zé)。
師夷長(zhǎng)技,國(guó)際軟件廠商巨頭正是因?yàn)閷?duì)于漏洞問(wèn)題的坦誠(chéng),發(fā)現(xiàn)漏洞及時(shí)修補(bǔ),所以贏得了更多用戶(hù)的信任。
舉例而言,谷歌向Chrome瀏覽器第14版漏洞的發(fā)現(xiàn)者提供了1.4萬(wàn)美元的獎(jiǎng)勵(lì),谷歌向一個(gè)V8高危漏洞的發(fā)現(xiàn)者支付了2000美元;微軟則開(kāi)設(shè)20萬(wàn)美元獎(jiǎng)金,鼓勵(lì)修復(fù)Windows內(nèi)存漏洞,微軟通常在每個(gè)月的第二個(gè)星期二發(fā)布月度安全補(bǔ)丁,因此這一天被人們稱(chēng)為“補(bǔ)丁星期二”(Patch Tuesday);Adobe則借鑒微軟發(fā)布安全補(bǔ)丁的模式,以季度為周期,在每季度的第二個(gè)星期二發(fā)布常規(guī)補(bǔ)丁;互聯(lián)網(wǎng)新貴Facebook,則更加鼓勵(lì)用戶(hù)尋找網(wǎng)站漏洞,目前對(duì)于漏洞發(fā)現(xiàn)和通報(bào)的獎(jiǎng)勵(lì)總額已達(dá)4萬(wàn)美元。
全世界所有軟件廠商甚至從業(yè)人員,都應(yīng)該向微軟、Adobe等行業(yè)領(lǐng)先者學(xué)習(xí),不要諱疾忌醫(yī),及時(shí)通報(bào)漏洞、提醒用戶(hù)進(jìn)行升級(jí)或修補(bǔ),這也正是行業(yè)通行的做法與義務(wù)。
當(dāng)然,中國(guó)的同行業(yè)者除了學(xué)習(xí),還需加幾分反思。
借用今天360老板周鴻祎的一句微博,“有漏洞不丟人,不承認(rèn)才丟人,發(fā)現(xiàn)漏洞就要坦承告訴用戶(hù)如何修補(bǔ),自家軟件也不例外。”
但愿“不遮掩、不回避、不護(hù)短”、“以用戶(hù)利益為根本”的原則,能成為中國(guó)軟件行業(yè)的新標(biāo)尺。
【來(lái)源: 重慶晚報(bào)】
【編輯:漫步】