漏洞未查出 怨员工?
安全阵线
前不久,IE7.0出现严重漏洞,该漏洞导致无数个站点被劫持,受影响用户不计其数。而根据微软负责安全代码开发的主管Michael Howard解释称,造成如此严重漏洞的主要原因,是因为负责开发的员工没有接受正确的培训。
据Michael Howard描述,IE中的那个0day漏洞存在已有9年之久,微软开发人员漏掉该漏洞的原因是,他们没有接受正确的培训,在测试中使用的测试工具也不是最有效的。 他还补充说,该漏洞是存在于内存中的time-of-check-time-of-use(TOCTOU),它很难通过代码检测或是分析静态代码发现。
在对开发人员进行培训时,教过TOCTOU的问题,教过内存错误的问题,也教过闲置内存的问题,但却从未涉及到与内存相关的TOCTOU问题。他表示,微软检测工具包括fuzz也没能发现这个漏洞。
我们都知道,一个企业的员工在上岗工作之前肯定会有一个培训的过程,以便员工能正确无误地完成自己的工作,像微软这样的大公司,肯定有一套完整及有效的培训方案。请注意这里的“完整”,意思是培训的内容要涉及员工工作的方方面面。
员工之所以没有进行与内存相关的TOCTOU问题的培训,肯定是公司对它的重视程度不够,才没有进行相关的培训,所以把这次事件的主要责任推到员工培训上,给人的感觉好像是员工能力不足造成的,这是不公平的。此外,微软自己的代码检测工具fuzz也没有检测出这个漏洞,同样证明了问题的根源不在员工身上。
建议微软在安全检测机制上,要进行一些改革,要增加一些冷门项目的检测,及时发现漏洞并补上,避免用户受到黑客的伤害。此外,不能完全依赖自己的代码检测工具,可以通过和安全公司合作发现漏洞。
无论是大公司还是小公司,一套完整和有效的培训方案必不可少,完整是重中之重,应该让员工清楚地了解到所有可能出现的问题,这样才能做到有的放矢。能进微软工作的都是精英,但是精英也需要“打磨”,变得完美,我们希望微软就是那个把精英打造得完美的“打磨石”。