Технологии

Бoлee тoгo, у рaзныx рaзрaбoтчикoв – рaзныe мeтoдики и плaны рeaгирoвaния нa обнаружение уязвимости. Однако это неправильно. (Это если опустить тот факт, что корректное определение понятия “безопасности” вообще весьма сложно для программного продукта.) Почему это так? Такой показатель, как число обнаруженных за некоторый промежуток времени уязвимостей – очень слабо связан с реальной безопасностью использования той или иной системы, даже в случае, если речь идёт о ситуации “при прочих равных”, например, когда сравнивают два распространённых браузера. Другими словами: то, что в браузере “Имярек” обнаружили лишь десять уязвимостей, приводящих к отказу в работе, не означает, что в этом браузере нет ещё одной, но уже позволяющей удалённо выполнить произвольный код. Сейчас в СМИ очередная волна сравнения различных программных систем по числу обнаруженных уязвимостей. Прежде всего потому, что процесс обнаружения уязвимостей – нестабильный, а сами уязвимости – весьма различны по своему влиянию на степень безопасности использования программной системы. А то, что в операционной системе “Имярек-2” обнаружили тысячу уязвимостей, скорее всего никак не повлияло на наличие или отсутствие уязвимостей в другой, не менее распространённой, операционной системе, в которой уязвимостей нашли пока что только сотню.