"Microsoft voorbeeld voor Apple, Adobe en Oracle"
Als Apple, Adobe en Oracle net zo veel in veiligheid zouden investeren als Microsoft, zou het internet een stuk veiliger zijn. Volgens Kurt Baumgartner van het Russische anti-virusbedrijf Kaspersky Lab, loopt Microsoft door de hoeveelheid moeite en interesse die het in veilig programmeren en het afhandelen van beveiligingslekken steekt, jaren voor op andere grote softwareleveranciers. Baumgartner reageert op de aanpassing van de "Exploitability Index" door Microsoft.
Tijdens elke patchdinsdag publiceert de softwaregigant een overzicht, waarin het aangeeft hoe groot de kans is dat hackers een exploit voor de gepatchte lekken zullen ontwikkelen. Daarin werd geen rekening met beveiligingsmaatregelen in nieuwere Windowsversies gehouden. Zo kon het zijn dat een exploit voor Windows XP binnen een maand na het uitkomen van de beveiligingsupdate verwacht werd, terwijl een exploit voor Windows 7 onwaarschijnlijk was.
Om dat onderscheid te maken komt Microsoft nu met een aanpassing, waarin het de kans op een exploit voor de "meest recente versie" en "alle oudere versies" weergeeft. "Deze verandering maakt het eenvoudiger voor klanten op recentere platformen om hun risico te bepalen, gegeven de extra beveiligingsmaatregelen en features die in Microsofts nieuwste producten aanwezig zijn", zegt Maarten Van Horenbeeck van het Microsoft Security Response Center.
- De mate van moeite zegt niets over de bereikte kwaliteit.
- Propriarity ofwel 'closed' software is niet vooraf te controleren of te beoordelen op beveiligingslekken anders dan door
emperisch onderzoek.
- Het uitvoeren van vreemde code blijft altijd een security risico op een systeem met closed software.
- Een virusscanner wordt zelden of in ieder geval beduidend minder toegepast op open source software gebaseerde
platformen. Dat maakt het vergelijken nog moeilijker; ik betwijfel dan ook de juistheid.
- Veiligheid van een systeem wordt vooral of tenminste medebepaald door de 'human' factor eb veel minder door de gebruikte
applicaties voor zowel open als closed software systemen.
Tot zover mijn (persoonlijke) ervaringen en mening.
Maar Microsoft geeft wel (meer) openheid in potentiële risico's. Iets dat Apple, Adobe en Oracle niet doen.
Jouw opmerking over closed source is steekhoudend, maar we hebben het hier over alleen maar leveranciers van closed source.
Ik ben het overigens wel helemaal met het artikel eens. Hoewel Microsoft nog een hele hoop te verbeteren heeft als het gaat om reactie op lekken en exploits, reageren ze naar mijn mening stukken beter dan de 3 andere genoemden.
Wij zijn als bedrijf op verschillende mailinglists voor updates geabonneerd, maar geen enkele list (van een closed source supplier) geeft zoveel informatie als Microsoft.
Apple ontkent lekken (zoals Microsoft dat 10-13 jaar geleden deed), Adobe negeert lekken (zoals Microsoft dat 10-13 jaar geleden deed), Oracle vergeet lekken (zoals Microsoft dat 10-13 jaar geleden deed).
Dus ja, de drie genoemde bedrijven kunnen leren van Microsoft.
Ik verwijs je graag door naar de onderstaande link waar alle hierboven genoemde partijen uitblinken door afwezigheid.
http://cve.mitre.org/compatible/compatible.html
Misschien heb ik een van de 'algemene norm' afwijkende mening, maar ik zou het pas een verbetering vinden als security wordt gemeten door een onafhankelijke partij op een manier die open en duidelijk is voor technici die hier in geïnteresseerd zijn of dit nodig hebben bij het uitvoeren van hun werk.
Een deel van het userland van Apple is voorzien van source code en kan door iedereen worden beoordeeld.
Ik ben het overigens met je eens dat MS meer moeite neemt dan in het verleden. Maar dat geeft geen enkele garantie zoals ik reeds heb gemeld over het uiteindelijke resultaat; een veilig systeem.
Met het toenemen van de complexiteit van de huidige systemen zie ik in de praktijk de kans van veiligheidslekken alleen maar toenemen.
Openheid in deze is gewenst alsmede een onafhankelijke beoordeling vrij van commercie.
Over de andere partijen zwijg ik maar liever en laat het aan de lezer over om dit zelf te beoordelen of in de praktijk te ervaren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
