甚至奖励全社会来挖出自家产品的漏洞。微软公司的安全性探寻之路以微软公司为事例,尽管人们对微软公司安全性理解仍然被掩饰在其产品功能的光环之下,但是跨越于软件产品生命的信息安全却仍然是微软公司战略的重中之重。
然而,微软公司的安全性之路并非一帆风顺。早在2001年,微软公司发售了后来被颇受的争议的WindowsXP,当时的微软公司对安全性还并未充足推崇,更加多关注点在满足用户痛点等体验层面。这造成WindowsXP的安全性不容乐观。
在2003年和2004年,知名的“冲击波”和“震荡波”病毒侵袭,病毒感染了上千万台机器,给微软公司用户带给了相当大损失,也影响了微软公司的品牌信任度。从2004年开始,微软公司开始修练内功,将安全性放到十分最重要的方位。
在十年的时间里,创建了一整套完备的安全性管理策略。他们意识到提早防治总有一天要比事后解决问题代价的代价更加小。
微软公司创建了一套科学的安全工程方法流程SDL(SecurityDevelopmentLifecycle),从安全性的角度来指导整个软件开发流程;正式成立微软公司安全性号召中心(MicrosoftSecurityResponseCenter,MSRC),负责管理对微软公司产品的漏洞报告展开调查,并号召这些漏洞报告,MSRC独立国家于所有产品部门之外,享有相当大的权限,可以拒绝不超过安全性标准的产品推迟公布;同时,微软公司还引进更加高级别的信息安全专家转入公司,或是担任安全性顾问的角色。值得一提的是,微软公司曾将一些透露漏洞的白帽黑客社区视作对立面,而随着其对安全性的更加推崇,微软公司对黑客社区的态度也改变为友好,不仅从其社区中引进人才到微软公司工作,堪称不会赞助商一些黑客社区的活动,指出其推崇安全性、开放性地拒绝接受安全性挑战的立场。如今,微软公司每个月发布的安全性公告,都会向其来自全世界的漏洞提交者祝贺,感激他们为维护用户安全性作出的希望。
在黑客大会Defcon上,微软公司还张贴出有了安全性贡献榜TOP100,还包括TK、yuange、陆吉辉等国内安全专家都榜上有名。安全性不是一劳永逸是动态完备的从微软公司的故事可以显现出,企业的信息安全问题不有可能一劳永逸,也没终极解决方案,而是一个长年动态完备的过程。
不管是传统的互联网,还是新兴的物联网企业,首先要制订出有完备的信息安全体系和策略,构筑强劲的防卫网,而不是“头痛医头,脚痛医脚”。“对话社交简化的服务观、动态完备的质量观、对付求衡的安全观“。这是智能安全性社区GeekPwn提倡的安全性新的三观。互联网+的时代,服务有时甚至不会低于产品实体本身,服务模式也从厂商单向获取改向社区对话模式。
而安全性极客们通过挖出智能软硬件的漏洞,需要协助产品完备安全性能力,为厂商防止因为漏洞导致经济损失及企业信誉,从而为用户获取淋漓尽致的体验和服务。电子产品、信息产品、智能产品由于复杂性要求了其在设计、研发、测试中不存在了有所不同程度的“缺失”和“问题”,厂商也是在大大地递归过程中谋求功能与体验的均衡。
白帽黑客利用自己的专业知识和能力,一般来说不会找到类似于产品的缺失和问题,这并不解释此些产品质量有问题。安全性是攻守对付之间的一个均衡,是由动态的博弈论对付所要求。
一个被找到漏洞和安全性问题就越多,并且改良很很快及时的产品,才是一个更高安全性的产品;一个没被传出过安全性问题的产品,其安全性是无法令人安心的。敢于拒绝接受安全性挑战的厂商,并有较慢完备及处置的措施,于是以解释其挟了安全性对付能力并创建了动态安全性改良机制。10月24日,全球首个注目智能生活的安全性极客大赛GeekPwn将如期揭幕,GeekPwn一如既往坚决科学中立不让步,负责任的漏洞透露原则,招揽全球敢于挑战的白帽黑客,找到智能生活有可能不存在的安全隐患。还包括手机、汽车\无人机、智能家居、智能穿戴、指纹缴纳等8大项目将沦为运动员们的攻陷对象。
原创文章,予以许可禁令刊登。下文闻刊登须知。
本文来源:必威-www.1happy-diet.com