加州山景城-Mozilla的新任的安全負責人是不會告訴你究竟是Firefox 安全,還是IE更安全。
Window Snyder 是前微軟職員,現任Mozilla 安全部門負責人。
她在微軟的時候曾經幫助創建Windows 安全工作流程。她還舉辦了藍帽會議,將黑客邀請到微軟,暴露自己產品的漏洞。
她對CNET新聞網站表示,在這一新職位上,Snyder計劃與外部世界分享Mozilla 的安全機密,加強與安全研究人員社區的聯系,去除Mozilla 產品當中老舊,相對危險的代碼。
Snyder自稱是一名極客(Geek),她還是一名程序員的女兒。在她的少女時代,她的母親在德州儀器99型電腦上就教她Basic 語言編程。她擔任過@Stake公司的安全咨詢員,這家公司後來被賽門鐵克收購。
以下是CNET對她的專訪。
問:你為什麼對安全感興趣?
Snyder:我學過數學以及計算機科學,這兩門學科讓我接觸到了加密學。從那以後,我就對如何開發安全程序以及如何保護安全系統產生了興趣。我曾是一名軟件工程師,研究安全程序的機會也相當的多。
你的安全職業生涯開始於什麼時候?
Snyder:我從上個世紀90年代就開始參與安全研究組織的活動了。
1990年代末期,安全行業確實發生了翻天覆地的變化:“互聯網安全系統”(ISS )等公司開始出現。這些技術終於實現了商業化,因此我從開發轉型到了咨詢。2000年,我在@Stake公司工作。之前,我做的工作並不是純粹的安全咨詢。
你信奉的安全法則是什麼?
Snyder:沒有什麼是安全的。這一點很重要,無論你是在開發軟件,還是一名安全測試人員,都應該牢記這一點。要不斷的想辦法去保護系統,因為總有人准備入侵它們,總有人想利用系統中的漏洞,總有人想傷害你的客戶。
你在微軟呆了三年,你在那裡做什麼?
Snyder:一開始,我為“確保Windows 安全”項目工作,開發算法,與不同的產品團隊進行協調,以確保微軟產品的安全。我設立了一個職位,專門全面負責操作系統的安全。微軟的操作系統開發團隊有許多負責人,有人進行本地化工作,有些人負責性能,還有人負責與合作伙伴產品的對接,但之前就是沒有負責安全的人。
Windows XP SP2服務包上市以後,我是一個全新的社區團隊的第一人,我負責將一些非正式的社區信息反饋給微軟。我們創辦了藍帽大會。
現在你在Mozilla 了。你覺得有挑戰性嗎?還是可以高枕無憂了?
Snyder:需要做很多的事情。Mozilla 的情況確實很不一樣,因為他們有社區。我們的開發能夠仰仗於社區。這一點最令我感到興奮,因為開源項目的本質就是這樣,其他人也可以學到我們同樣學到的東西。
在一個商業環境中,你實際上關閉了源代碼。人們看到成果,但卻看不到過程。在Mozilla ,Firefox ,你既可以看到成果,又可看到過程步驟。
你認為Mozilla 產品的安全性如何?
Snyder:還需要做大量的工作。
一點都不安全嗎?
Snyder:沒有什麼是安全的,因此,改進無疑是必要的。
Firefox 比微軟的IE浏覽器更安全嗎?
Snyder:這要看你如何來衡量安全了。我認為衡量安全最重要的一個尺度就是:廠商向用戶發放補丁的速度有多快?然後就是,一旦補丁就位,實施補丁的時間有多長?
我認為Mozilla 已經減少了漏洞發現與補丁發放之間的這段時間,並且漏洞的數量在降低。
那麼,請用一句話來回答這一問題:Firefox 比IE更安全嗎?
Snyder:我認為這個問題無法用一句話來回答。
你不能說是或不是嗎?
Snyder:你需要注意每天的危險。你需要看整個的流程,如何響應,如何實現流程的透明化。
Mozilla 或它的產品面臨任何的安全挑戰嗎?
Snyder:我們在加強產品的安全性方面有巨大的機會,從我們的功能角度,到適應變化等等,比如,通過去除死代碼或者不經常使用的代碼,我們可以降低攻擊發生的頻率。
你在微軟干過,現在又在Mozilla 工作。你如何看待社區?一些安全研究員已經發現,Firefox 當中也存在一些漏洞。
Snyder:我將安全研究社區看作是Mozilla 社區的另外一個組成部分。社區成員能夠貢獻他們的安全設計,他們可以對功能進行建議。
他們能夠參與安全設計,他們可以建議功能,他們能夠幫助我們檢查漏洞,他們還可以幫我們進行測試。他們能夠開發我們需要的檢測工具,以便發現更多的漏洞。這方面的內容很豐富(比商業產品豐富多了)。
在你來Mozilla 之前就已經在使用Firefox 浏覽器了嗎?
Snyder:是的。我使用每種浏覽器。我在家裡面有蘋果電腦,還有安裝了Linux 操作系統的PC. 我的家裡面有很多的電腦平台以及軟件。
你現在的工作時間比以往更長了嗎?
Linux :可能是這樣的,我現在花大量的時間提高自己的工作速度。對我而言,這是一份全新的工作,因此你需要快馬加鞭,重新開始。
這就意味著要花很多的時間與人談話,檢查所有原來的bug。
原文鏈接:http://www.cnetnews.com.cn/news/softwares/story/0,3800055189,39531285,00.htm