基于服務的軟件更需要注重安全
那天去TENCENT做安全測試的交流,聽到一個很奇怪的理論:TENCENT不是賣軟件的,是賣軟件之上的服務的,由于軟件不直接收到錢,不愿意對軟件的安全問題花錢,只愿意對服務的安全問題買單。
但我覺得
1)服務是基于軟件的,沒有了軟件,也就沒有了服務的載體。雖然賣的是服務,沒有靠軟件直接收錢,但是用戶對軟件的信任度會直接影響到服務。無論是賣服務還是賣軟件,都必須且有責任改善自身產品的安全質量,以保護自己用戶的安全,不能因為你不是賣軟件的,但用戶因為使用你發布的軟件遭受到的安全問題你就可以置之不理。
2)基于服務的軟件更需要注重安全,我可以說個案例,04,05年:TENCENT的QQ附帶的QQMAIL工具,大量拷貝微軟IE的DLL到自己目錄下使用而很少跟進IE的補丁升級,導致微軟IE補丁修復后的漏洞,QQMAIL里還存在,結果導致我認識的很多朋友因為這個遭受過重大損失,基本都棄用QQMAIL工具,我的機器也因為這樣的安全漏洞被成功入侵過,雖然及時發現沒有導致更多損失,但是到現在我都養成習慣,哪怕是現在QQMAIL改成WEB形式了,QQMAIL里的來信一律不收不看,也不會以QQMAIL作為自己使用的郵件,另外也對QQ會大量使用IE DLL的瀏覽器也拒絕使用并且讓所有認識的親戚都不要使用,不是因為對TENCENT有偏見,而是對以前因這些產品的安全問題導致自身的安全的事件記憶深刻。可以說,只要用戶明白了自己的損失是某個軟件的安全漏洞造成的,都會長期丟棄對應軟件之上的服務的,而且基于通訊服務的軟件,對安全性要求更高,一個不可利用的CRASH如果能導致用戶無法使用軟件,也會造成服務的失效,所以基于服務的軟件更需要注重安全。
以上所言,是希望TENCENT主管安全的大佬們能夠思考一下,并無批評TENCENT之意,就國內軟件企業對自身產品安全的重視和實施安全的力度和能力而言,TENCENT和阿里是我覺得國內做得最好的2家公司。
【編輯推薦】
