ZDNet Австралия опубликовала интересную статью, написанную руководителем отдела безопасности компании Oracle, Мэри Эн Дэвидсон, в которой рассказывается о взаимоотношениях крупных разработчиков программного обеспечения и сторонних аналитиков, занимающихся исследованиями в области безопасности программного обеспечения. В статье обсуждаются следующие вопросы: на сколько разработчики программного обеспечения могут обойтись без независимых аналитиков, основываясь только на силы собственных исследовательских отделах, какие сроки, требуются на устранение той или иной обнаруженной уязвимости, при обсуждении этого вопроса акцентрируется внимание на том, что большинство ошибок в программном обеспечении можно закрыть в течении 5 минут, но вот на распространение патчей среди пользователей своих продуктов может уйти до нескольких недель, поэтому большинство компаний просит не сразу предавать публичной огласке найденные уязвимости, и отложить это на определенный срок. Интересны рассуждения автора статьи о денежном вознаграждении сторонних аналитиков, что является довольно щепетильным вопросом в этой сфере, чаще всего хакеры не получают никаких денег за обнаруженные и сообщенные компаниям "бреши" в безопасности разрабатываемого ими программного обеспечения, однако при постоянном сотрудничестве с крупными компаниями не редки случаи трудоустройства и взятия в штат сотрудников.
Подробнее