谁应该对软件代码中安全漏洞负责?
来源:计世网 更新时间:2012-04-13
   计算机安全专家布鲁斯已经开始积极地投入到有关谁应当为软件代码中安全漏洞进行负责的争论中。前任白宫电脑安全事务顾问霍华德于上周在伦敦举行的一次研讨会上

为这次争论揭开了序幕。据霍华德指出,编程人员应当对出现在他们编写的代码中的安全漏洞负责。他表示,在软件开发中,我们需要有来自这些软件开发人员的个人质量作保证,保证他们所编写的代码是安全的。


    然而,霍华德的这一争论点却引起了包括诸如Counterpane互联网安全公司的技术总监布鲁斯等这样的一大批软件开发人员的不满。布鲁斯在其网志和一个Wired News论坛中对霍华德的观点进行了反驳:他反驳霍华德的观点是:问题是在于那些销售软件的厂商,而不是开发人员。据布鲁斯认为,厂商门是为了盈利,它们尽力去对比安全软件的成本━━更多的开发人员、更少的功能、更长的上市时间等,它们在这些与不安全软件的成本━━发布开发补丁软件的费用、媒体负面报道、可能的销售损失等之间找到一个平衡点。他表示,其结果导致了“问题丛生的软件”。这些问题的结果最终导致受伤害的不是那些出售软件的厂商,而是为不安全软件买单的用户。使软件厂商承担更多的责任可以解决这一问题。


    布鲁斯的观点得到了ZDNet UK的许多读者的赞同,认为软件漏洞的责任应当归咎于销售软件的厂商。据ZDNet UK对1000名读者进行的调查显示,认为厂商应当对软件漏洞进行负责的读者占53%,认为谁也没有责任的读者占40%,认为软件漏洞是由开发人员的过失所造成的读者仅仅占6%。


    至于布鲁斯所担心的是:计算机安全并不是一个技术问题━━它是一个经济问题。