про уязвимости и релизинг public proof of concept
В общем-то, очевидные вещи:
любая коммерческая компания тратит бабло на разработку. Любой рефакторинг (переписывание) кода в коммерческой конторе разработчике стоит денег, поскольку на него тратится оплачиваемое время. Если компания не резервирует бюджет на рефакторинг (а таких много, если не подавляющее большинство), то она экономически не заинтересована в исправлении ошибок не влияющих на функционал. Большая часть производителей ПО не станет исправлять ошибки связанные с безопасностью если нет экономического повода сделать это.
Таким образом, публикация proof of concept для уязвимостей и ошибок в дизайне мотивирует, по крайней мере часть компаний разработчиков, сделать изменения устраняющие ошибки, поскольку у клиентов, как минимум потенциально, появляются проблемы с внедрением этих продуктов в, как минимум, условиях с требованиями к ИБ.
Фактически, публикация информации по ошибкам в области безопасности улучшает мир в перспективе, поскольку, в результате, либо производитель исправляет ошибки, либо потребитель выбирает производителя с должным отношением к ИБ голосуя финансово. При этом, это достигается, в том числе, ценой временного ухудшения ситууации - уязвимостью, на время ее актуальности, может воспользоваться злонамеренная персона.
На примере одной нашей совместной статьи могу сказать, что через три года, оценив стоимость защищенных решений на базе того же вендора, я был приятно удивлен - цена уменьшилась на порядок. Это то, что я называю прогибать мир.=) Пусть вендор и не признается, что наша публикация была одним из мотивирующих факторов. =)
Собственно раздумывал было примерно это сказать на ccha7 на условиях интервью без камеры, но пресса разбежалась после первого дня. )
любая коммерческая компания тратит бабло на разработку. Любой рефакторинг (переписывание) кода в коммерческой конторе разработчике стоит денег, поскольку на него тратится оплачиваемое время. Если компания не резервирует бюджет на рефакторинг (а таких много, если не подавляющее большинство), то она экономически не заинтересована в исправлении ошибок не влияющих на функционал. Большая часть производителей ПО не станет исправлять ошибки связанные с безопасностью если нет экономического повода сделать это.
Таким образом, публикация proof of concept для уязвимостей и ошибок в дизайне мотивирует, по крайней мере часть компаний разработчиков, сделать изменения устраняющие ошибки, поскольку у клиентов, как минимум потенциально, появляются проблемы с внедрением этих продуктов в, как минимум, условиях с требованиями к ИБ.
Фактически, публикация информации по ошибкам в области безопасности улучшает мир в перспективе, поскольку, в результате, либо производитель исправляет ошибки, либо потребитель выбирает производителя с должным отношением к ИБ голосуя финансово. При этом, это достигается, в том числе, ценой временного ухудшения ситууации - уязвимостью, на время ее актуальности, может воспользоваться злонамеренная персона.
На примере одной нашей совместной статьи могу сказать, что через три года, оценив стоимость защищенных решений на базе того же вендора, я был приятно удивлен - цена уменьшилась на порядок. Это то, что я называю прогибать мир.=) Пусть вендор и не признается, что наша публикация была одним из мотивирующих факторов. =)
Собственно раздумывал было примерно это сказать на ccha7 на условиях интервью без камеры, но пресса разбежалась после первого дня. )