Директор Oracle по безопасности просила пользователей меньше ковыряться в программном коде

07:49 12.08.2015

|   719 прочтений



Проблема, по мнению Мэри Энн Дэвидсон, заключается не только в том, что занимающиеся обратным инжинирингом нарушают лицензионные соглашения компании, но и в том, что распространенные средства анализа почти всегда выдают ложные положительные результаты.

 

10 августа в официальном блоге директора по безопасности компании Oracle Мэри Энн Дэвидсон появилась статья о попытках пользователей программных продуктов Oracle найти в них ошибки и уязвимости с помощью средств статического анализа кода и прочих методов обратного инжиниринга. Однако тон статьи настолько не понравился читателям (и, вероятно, клиентам), что Oracle вскоре удалила статью, ссылаясь на то, что она не отражает ни принципы компании, ни характер ее отношений с клиентами.

Проблема, по мнению Дэвидсон, заключается не только в том, что пользователи, занимающиеся обратным инжинирингом, нарушают лицензионные соглашения, но и в том, что средства анализа почти всегда выдают ложные положительные результаты.В отличие от инженеров компании, пользователи не имеют доступа к исходному коду и не могут знать, реализованы ли в нем проверки, предотвращающие возможность атак, о которых говорят средства анализа. Премии за обнаружение ошибок, которые выплачивают многие другие компании, с точки зрения Дэвидсон, экономически невыгодны.

В то же время Дэвидсон ничего не сказала о проблеме ответственности разработчиков программ за ошибки. Лицензионные соглашения, как правило, содержат пункт об отказе от каких-либо гарантий.


Теги: Информационная безопасность Уязвимости Oracle
На ту же тему: