博客首页|TW首页| 同事录|业界社区

漏洞危机面前的互联网生存方式

智者言:短不可护,护短终短;长不可矜,矜则不长。

周末闲悠,胡乱上网消遣一段冬日暖阳。可一上来,就看见了自家电脑的360大曝起手机精灵、QQ手机助手、豌豆荚的“安全漏洞”,本以为又是“数字公司”与“企鹅鸟”再度擦枪走火,细读之后,才发现竟然是360“自曝+通报”的一起行业提醒——混迹中国互联网多年,看惯了中国软件厂商打打杀杀、勾心斗角的血雨腥风,今天360的这幕戏,倒是还真有了点与众不同的意味。
其实,在软件的发展过程中,漏洞也是形影不离。尤其在当下的互联网时代,软件厂商想完全避免产品漏洞已经是天方夜谭,且不说那些身怀绝技、自学成才的黑客高手们,就是复杂多变的数据信息交互环境,也让软件厂商们对于产品设计漏洞防不胜防。由此,即使是非常成熟的视窗操作系统,微软公司定期升级修补漏洞也已经成为常态;世界知名的Adobe Systems,更是漏洞烦扰不断,针对“Flash动画网页”和“PDF阅读器”,几乎成为了黑客们比武练兵的“试验田”。
任何软件都不可能100%地避免漏洞,这道理本极为浅显。然而,在刺刀见红的中国互联网战场上,“漏洞”一词变了性。
长期以来,互曝“漏洞”、揭黑对手,已经成为了中国软件厂商市场相互攻击的“不二利器”,同行之间利用曝光“漏洞”互揭伤疤,更是屡试不爽:今天说某某软件“隐私泄露”,明天说某某对手将导致“系统崩盘”,而对自身的“漏洞”,则大多遮遮掩掩,轻描淡写……用户利益更是成为了各大软件厂商间争夺市场份额的牺牲品。
言归正传,借着360这次自曝漏洞的行为,很想说,希望在中国网络安全行业中树立起一个正向的风向,希望此举能引导中国软件厂商都能从用户利益出发,建立起厂商间的互信关系,至少在这种漏洞危机发生的时候,能把恩怨暂时放在一边,而不要相互揭短、夸大漏洞,做到对用户真正负责。
师夷长技,国际软件厂商巨头正是因为对于漏洞问题的坦诚,发现漏洞及时修补,所以赢得了更多用户的信任。
举例而言,谷歌向Chrome浏览器第14版漏洞的发现者提供了1.4万美元的奖励,谷歌向一个V8高危漏洞的发现者支付了2000美元;微软则开设20万美元奖金,鼓励修复Windows内存漏洞,微软通常在每个月的第二个星期二发布月度安全补丁,因此这一天被人们称为“补丁星期二”(Patch Tuesday);Adobe则借鉴微软发布安全补丁的模式,以季度为周期,在每季度的第二个星期二发布常规补丁;互联网新贵Facebook,则更加鼓励用户寻找网站漏洞,目前对于漏洞发现和通报的奖励总额已达4万美元。

全世界所有软件厂商甚至从业人员,都应该向微软、Adobe等行业领先者学习,不要讳疾忌医,及时通报漏洞、提醒用户进行升级或修补,这也正是行业通行的做法与义务。

当然,中国的同行业者除了学习,还需加几分反思。
借用今天360老板周鸿祎的一句微博,“有漏洞不丢人,不承认才丢人,发现漏洞就要坦承告诉用户如何修补,自家软件也不例外。”
但愿“不遮掩、不回避、不护短”、“以用户利益为根本”的原则,能成为中国软件行业的新标尺。


上一篇: 传统品牌如何打通电商捷径
下一篇:拍照手机替代卡片数码相机言之尚早

评论

Good.Be the first to comment on this entry.

发表评论

You must 登录 to post comment.