智者言:短不可護(hù)�,護(hù)短終短;長(zhǎng)不可矜,矜則不長(zhǎng)��。
周末閑悠�����,胡亂上網(wǎng)消遣一段冬日暖陽(yáng)?��?梢簧蟻?lái)�,就看見(jiàn)了自家電腦的360大曝起手機(jī)精靈����、QQ手機(jī)助手、豌豆莢的“安全漏洞”����,本以為又是“數(shù)字公司”與“企鵝鳥(niǎo)”再度擦槍走火,細(xì)讀之后����,才發(fā)現(xiàn)竟然是360“自曝+通報(bào)”的一起行業(yè)提醒——混跡中國(guó)互聯(lián)網(wǎng)多年,看慣了中國(guó)軟件廠商打打殺殺���、勾心斗角的血雨腥風(fēng),今天360的這幕戲��,倒是還真有了點(diǎn)與眾不同的意味�����。
其實(shí),在軟件的發(fā)展過(guò)程中�����,漏洞也是形影不離��。尤其在當(dāng)下的互聯(lián)網(wǎng)時(shí)代����,軟件廠商想完全避免產(chǎn)品漏洞已經(jīng)是天方夜譚,且不說(shuō)那些身懷絕技�����、自學(xué)成才的黑客高手們�,就是復(fù)雜多變的數(shù)據(jù)信息交互環(huán)境,也讓軟件廠商們對(duì)于產(chǎn)品設(shè)計(jì)漏洞防不勝防�。由此,即使是非常成熟的視窗操作系統(tǒng)���,微軟公司定期升級(jí)修補(bǔ)漏洞也已經(jīng)成為常態(tài);世界知名的Adobe Systems��,更是漏洞煩擾不斷����,針對(duì)“Flash動(dòng)畫(huà)網(wǎng)頁(yè)”和“PDF閱讀器”,幾乎成為了黑客們比武練兵的“試驗(yàn)田”��。
任何軟件都不可能100%地避免漏洞�����,這道理本極為淺顯��。然而���,在刺刀見(jiàn)紅的中國(guó)互聯(lián)網(wǎng)戰(zhàn)場(chǎng)上��,“漏洞”一詞變了性����。
長(zhǎng)期以來(lái)�,互曝“漏洞”、揭黑對(duì)手���,已經(jīng)成為了中國(guó)軟件廠商市場(chǎng)相互攻擊的“不二利器”���,同行之間利用曝光“漏洞”互揭傷疤�����,更是屢試不爽:今天說(shuō)某某軟件“隱私泄露”,明天說(shuō)某某對(duì)手將導(dǎo)致“系統(tǒng)崩盤(pán)”���,而對(duì)自身的“漏洞”���,則大多遮遮掩掩,輕描淡寫(xiě)……用戶(hù)利益更是成為了各大軟件廠商間爭(zhēng)奪市場(chǎng)份額的犧牲品��。
言歸正傳��,借著360這次自曝漏洞的行為�,很想說(shuō),希望在中國(guó)網(wǎng)絡(luò)安全行業(yè)中樹(shù)立起一個(gè)正向的風(fēng)向����,希望此舉能引導(dǎo)中國(guó)軟件廠商都能從用戶(hù)利益出發(fā),建立起廠商間的互信關(guān)系����,至少在這種漏洞危機(jī)發(fā)生的時(shí)候,能把恩怨暫時(shí)放在一邊����,而不要相互揭短���、夸大漏洞,做到對(duì)用戶(hù)真正負(fù)責(zé)��。
師夷長(zhǎng)技��,國(guó)際軟件廠商巨頭正是因?yàn)閷?duì)于漏洞問(wèn)題的坦誠(chéng)����,發(fā)現(xiàn)漏洞及時(shí)修補(bǔ),所以贏得了更多用戶(hù)的信任�����。
舉例而言��,谷歌向Chrome瀏覽器第14版漏洞的發(fā)現(xiàn)者提供了1.4萬(wàn)美元的獎(jiǎng)勵(lì)�����,谷歌向一個(gè)V8高危漏洞的發(fā)現(xiàn)者支付了2000美元;微軟則開(kāi)設(shè)20萬(wàn)美元獎(jiǎng)金���,鼓勵(lì)修復(fù)Windows內(nèi)存漏洞����,微軟通常在每個(gè)月的第二個(gè)星期二發(fā)布月度安全補(bǔ)丁����,因此這一天被人們稱(chēng)為“補(bǔ)丁星期二”(Patch Tuesday);Adobe則借鑒微軟發(fā)布安全補(bǔ)丁的模式,以季度為周期���,在每季度的第二個(gè)星期二發(fā)布常規(guī)補(bǔ)丁;互聯(lián)網(wǎng)新貴Facebook�,則更加鼓勵(lì)用戶(hù)尋找網(wǎng)站漏洞�����,目前對(duì)于漏洞發(fā)現(xiàn)和通報(bào)的獎(jiǎng)勵(lì)總額已達(dá)4萬(wàn)美元��。
全世界所有軟件廠商甚至從業(yè)人員�����,都應(yīng)該向微軟�、Adobe等行業(yè)領(lǐng)先者學(xué)習(xí),不要諱疾忌醫(yī)����,及時(shí)通報(bào)漏洞、提醒用戶(hù)進(jìn)行升級(jí)或修補(bǔ),這也正是行業(yè)通行的做法與義務(wù)���。
當(dāng)然����,中國(guó)的同行業(yè)者除了學(xué)習(xí)���,還需加幾分反思�����。
借用今天360老板周鴻祎的一句微博���,“有漏洞不丟人,不承認(rèn)才丟人�,發(fā)現(xiàn)漏洞就要坦承告訴用戶(hù)如何修補(bǔ),自家軟件也不例外����。”
但愿“不遮掩、不回避�、不護(hù)短”、“以用戶(hù)利益為根本”的原則�,能成為中國(guó)軟件行業(yè)的新標(biāo)尺��。
【來(lái)源: 重慶晚報(bào)】
【編輯:漫步】