Daugiau nei pusė iš 340 IT specialistų, apsilankiusių „Gartner“ IT saugos konferencijoje, o tai yra 57%, mano, jog specialios laboratorijos, atskleidžiančios ir paviešinančios informaciją apie pažeidžiamumus, daro naudingą darbą. 22% pasakė, jog tokių organizacijų veikla priverčia dažniau atnaujinti programinę įrangą. Pažeidžiamumų atskleidimo politikos aptarimas ir buvo viena pagrindinių renginio temų.
Buvo svarstomos trys galimybės: informacijos apie pažeidžiamumus pateikimas tik programinės įrangos autoriams, viešas atskleidimas ir visiškai jokio atskleidimo. Buvo išsakytos įvairios nuomonės: techninis „Errata Security“ direktorius duoda programinės įrangos kūrėjams 30 dienų pasitaisyti, o „Matasano Security“ galva mano, jog būtina palaukti kol pažeidžiamumas bus ištaisytas, kad ir kiek laiko tam reikės.
Ginčytasi ir dėl to, kiek lėšų reikia skirti programų saugumui jas kuriant. Išsakytos nuomonės, kad reikia skirti nuo 10 iki 25 procentų nuo viso projekto biudžeto. „Veracode“ techninio direktoriaus teigimu, klaidos pašalinimas po produkto pasirodymas kainuoja 100 kartų brangiau, nei kūrimo stadijoje.
Dar viena apklausa, atlikta šiame renginyje, parodė IT departamentų vangumą atnaujinant programas. Paviešinus Windows DNS pažeidžiamumą, 30% apklaustųjų laukė oficialaus pataisymo, 20% tiesiog išjungė pažeidžiamą paslaugą. Tik 7% įdiegė trečiųjų šalių siūlomus pataisymus, o 23% apskritai nežinojo apie pažeidžiamumo egzistavimą.
Paieška archyve
