Moet een ontwikkelaar wel alle lekken patchen?
Als het gaat om beveiligingslekken wordt meestal meteen geroepen dat de software ontwikkelaar ze zo snel mogelijk moet patchen, maar volgens sommige vendors is dit niet het geval en kun je bepaalde lekken beter laten zitten. "Ons bedrijf geeft veel geld uit aan het oplossen van beveiligingsproblemen. We trainen onze progammeurs in veilig programmeren en volgen de hiervoor geldende richtlijnen. Vinden we een ernstig lek, dan wordt die meteen gedicht. Gaat het om een medium of minder ernstige kwetsbaarheid, dan laten we die zitten totdat iemand anders die opmerkt. We zullen deze lekken nog steeds onderzoeken, maar niet patchen," zo laat een anonieme vendor weten. Het bedrijf heeft hiervoor vijf redenen:
1. We richten onze middelen liever op ernstige lekken, bekend of onbekend. Elk minder ernstig lek vertraagt het hele proces. Daarnaast hebben we geen onbeperkt budget.
2. We geven de hoogste prioriteit aan publiek bekende lekken. We worden namelijk alleen beoordeeld op de lekken die bekend zijn en hoe snel we die dichten. Niemand ziet echter de intern opgeloste beveiligingslekken.
3. Aanvullende lekken die externe hackers vinden zijn meestal het resultaat van het onderzoeken van onze patches. Als we de originele exploits ongepatcht hadden gelaten, waren in ons geval drie publieke exploits nooit verschenen.
4. Elk onthuld en gepatcht beveiligingslek zorgt ervoor dat hackers nog beter hun best doen om nieuwe lekken te vinden en die sneller te misbruiken. Het is net een wapenwedloop.
5. Als een lek niet wordt bekendgemaakt, zullen de meeste hackers het niet misbruiken.
Als je een onvolkomen produkt levert, zul je dat moeten melden en in de
prijs verwerken.
Voor wat, hoort wat.
Microsoft heeft ontzettend veel geld verdiend aan zijn OS'en.
(En terecht, dat mag ..)
Misschien is het nu eens tijd om de prijs van Windows te verlagen en
gewag te maken bij aankoop dat het produkt niet veilig is/blijft.
eigenlijk in alle argumenten ook wel vinden. Maar een
bedrijf hoeft toch niet perse een lek te dichten. Vaak komt
de hacker die het lek heeft gevonden al met een oplossing
hoe je het kan voorkomen. Maar ik heb het idee dat daar niet
al te vaak naar geluisterd word.
Dus ik denk dat we meer moeten gaan luisteren naar mensen
buiten het bedrijf.
levert, zul je dat moeten melden en in de prijs
verwerken.
eigenlijk zegt is dat alle software waarvoor patches en
updates uitkomen goedkoper zouden moeten zijn omdat ze al
onvolkomen waren tijdens de release? Dus je bedoeld
eigenlijk alles in het leven...auto's, keukens, huizen...Als
je ooit president wordt heb je mijn stem! ;)
eigenlijk zegt is dat alle software waarvoor patches en
updates uitkomen goedkoper zouden moeten zijn omdat ze al
onvolkomen waren tijdens de release? Dus je bedoeld
eigenlijk alles in het leven...auto's, keukens, huizen...Als
je ooit president wordt heb je mijn stem! ;)
En als deze man als president niet voldoet ? Moet ie dan ze hele salaris
terugstorten of maar 70% ? ;-)
elk geval uitstel van executie ;)
Dus je bedoeld
eigenlijk alles in het leven...auto's, keukens, huizen...Als
je ooit president wordt heb je mijn stem! ;)
Jij rijdt niet terug naar de garage indien je motor, na aankoop van je
nieuwe auto, lekt?
Dan heb ik nog wel wat oude wagentjes staan voor je!
Windows is NIET een veilig produkt. De prijs van Windows is de prijs van
een VEILIG produkt. Bij andere produkten wordt dit niet getolereerd.
Microsoft maakt misbruik van haar gebruikers, keer op keer.
Dat er lekken zijn is, gezien de complexiteit, logisch en niet te voorkomen,
echter Microsoft wijst alleen maar en steekt nimmer hand in eigen boezem.
patchen, kost allemaal tijd en geld om meteen een patch uit
te brengen wat ten koste gaat van development. Het zou
echter wel netjes zijn om ze in de volgende versie cq update
WEL opgelost te hebben.
Dat er lekken zijn is, gezien de complexiteit, logisch en
niet te voorkomen,
echter Microsoft wijst alleen maar en steekt nimmer hand in
eigen boezem.
Zeur, gebruik dan gewoon een ander OS.
Tegenwoordig is er zoveel smaak, ook voor de newbies, dat je
niet meer kunt zeuren over iemands praktijken.
afz. Happy Debian Etch User.
salaris terugstorten of maar 70% ? ;-)
Gewoon patchen, krijg je president v1.01
lek bekend is aan de buitenwereld en dan met de eer strijken hoe goed ze
zin dat ze een lek gedicht hebben . Ooit gehoord dat een een hele boel
kleine beetjes, één grote hoop maken. Dit bedrjif is zeker een dochterfirma
van Microsoft...?!?!?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
