智者言:短不可護�,護短終短;長不可矜,矜則不長�。
周末閑悠,胡亂上網(wǎng)消遣一段冬日暖陽����。可一上來���,就看見了自家電腦的360大曝起手機精靈���、QQ手機助手、豌豆莢的“安全漏洞”�����,本以為又是“數(shù)字公司”與“企鵝鳥”再度擦槍走火�����,細讀之后���,才發(fā)現(xiàn)竟然是360“自曝+通報”的一起行業(yè)提醒——混跡中國互聯(lián)網(wǎng)多年�����,看慣了中國軟件廠商打打殺殺���、勾心斗角的血雨腥風,今天360的這幕戲���,倒是還真有了點與眾不同的意味����。
其實����,在軟件的發(fā)展過程中,漏洞也是形影不離�����。尤其在當下的互聯(lián)網(wǎng)時代,軟件廠商想完全避免產(chǎn)品漏洞已經(jīng)是天方夜譚���,且不說那些身懷絕技����、自學成才的黑客高手們���,就是復雜多變的數(shù)據(jù)信息交互環(huán)境���,也讓軟件廠商們對于產(chǎn)品設(shè)計漏洞防不勝防。由此�,即使是非常成熟的視窗操作系統(tǒng),微軟公司定期升級修補漏洞也已經(jīng)成為常態(tài);世界知名的Adobe Systems���,更是漏洞煩擾不斷��,針對“Flash動畫網(wǎng)頁”和“PDF閱讀器”�,幾乎成為了黑客們比武練兵的“試驗田”�����。
任何軟件都不可能100%地避免漏洞,這道理本極為淺顯�����。然而�,在刺刀見紅的中國互聯(lián)網(wǎng)戰(zhàn)場上��,“漏洞”一詞變了性�����。
長期以來�,互曝“漏洞”、揭黑對手�����,已經(jīng)成為了中國軟件廠商市場相互攻擊的“不二利器”���,同行之間利用曝光“漏洞”互揭傷疤����,更是屢試不爽:今天說某某軟件“隱私泄露”�����,明天說某某對手將導致“系統(tǒng)崩盤”,而對自身的“漏洞”�����,則大多遮遮掩掩�,輕描淡寫……用戶利益更是成為了各大軟件廠商間爭奪市場份額的犧牲品。
言歸正傳���,借著360這次自曝漏洞的行為���,很想說,希望在中國網(wǎng)絡(luò)安全行業(yè)中樹立起一個正向的風向��,希望此舉能引導中國軟件廠商都能從用戶利益出發(fā)�,建立起廠商間的互信關(guān)系,至少在這種漏洞危機發(fā)生的時候���,能把恩怨暫時放在一邊����,而不要相互揭短���、夸大漏洞����,做到對用戶真正負責。
師夷長技���,國際軟件廠商巨頭正是因為對于漏洞問題的坦誠���,發(fā)現(xiàn)漏洞及時修補,所以贏得了更多用戶的信任�。
舉例而言���,谷歌向Chrome瀏覽器第14版漏洞的發(fā)現(xiàn)者提供了1.4萬美元的獎勵����,谷歌向一個V8高危漏洞的發(fā)現(xiàn)者支付了2000美元;微軟則開設(shè)20萬美元獎金��,鼓勵修復Windows內(nèi)存漏洞��,微軟通常在每個月的第二個星期二發(fā)布月度安全補丁��,因此這一天被人們稱為“補丁星期二”(Patch Tuesday);Adobe則借鑒微軟發(fā)布安全補丁的模式�����,以季度為周期,在每季度的第二個星期二發(fā)布常規(guī)補丁;互聯(lián)網(wǎng)新貴Facebook����,則更加鼓勵用戶尋找網(wǎng)站漏洞,目前對于漏洞發(fā)現(xiàn)和通報的獎勵總額已達4萬美元�����。
全世界所有軟件廠商甚至從業(yè)人員����,都應(yīng)該向微軟、Adobe等行業(yè)領(lǐng)先者學習��,不要諱疾忌醫(yī)�����,及時通報漏洞��、提醒用戶進行升級或修補��,這也正是行業(yè)通行的做法與義務(wù)���。
當然��,中國的同行業(yè)者除了學習�����,還需加幾分反思��。
借用今天360老板周鴻祎的一句微博���,“有漏洞不丟人�,不承認才丟人����,發(fā)現(xiàn)漏洞就要坦承告訴用戶如何修補�,自家軟件也不例外。”
但愿“不遮掩�����、不回避��、不護短”����、“以用戶利益為根本”的原則�,能成為中國軟件行業(yè)的新標尺����。
【來源: 重慶晚報】
【編輯:漫步】