独立软件开发商的责任：对漏洞负直接责任-搜狐数码

独立软件开发商的责任：对漏洞负直接责任

2006年01月21日10:48 [我来说两句] [字号：大中小]

来源：IT168网

　　随着安全漏洞不断上涨的趋势和随之而起的公开要求，公司开始期望软件出售商对其商品负责。

　　对这种即将到来却又迟迟未到的趋势，公司们期望着软件销售商们能对他们产品中的漏洞负直接责任。

　　阿马迪（ Ed Adams），一家软件安全测试公司的首席执行官说道，最令人痛心的例子是今年夏天卡安全系统的崩溃，导致了4000万个万事达信用卡客户和维萨信用卡用户以及美国快递用户的身份认证被偷盗。

　　该件事件被发现后，信用卡安全系统软件不得不为这起安全盗窃案负责任，这三家公司最终终止了和卡系统的合作关系，有效遏制该类事件再次发生。

　　阿马迪（ Ed Adams）说道：“他们的客户立刻将钱撤离出来，他们的公司不得不倒闭，在整个夏天，他们不得不出售便士到美元给另外的买主。”

　　这可能是卖主不得不负责任的一起极端事件，越来越多深受其困扰的公司向他们的软件开发商投诉，他们再也不能忍受由于那些糟糕透底的软件所带来的问题－尤其是新的规章制度出台，规定如果客户信息被盗窃后或被黑客攻击后，应对该事件予以公告。

　　这就是法律

　　举例说，加利福尼亚参议院投票1386票，要求公司在客户资料受到威胁时候要通告客户。自从该条款在2003年生效后，许多公司的名誉受损。“出现象沙宾法（Sarbanes Oxley）此类的法案后，公司们开始询问他们为什么要成为这些糟糕产品首当其冲的责任人”。凯文（Kevin Kernan），安全技术与测试公司即安全软件公司的首席执行官说道。

　　“我在考虑是什么驱使了今天这样的行为，是收入，名誉和规章制度，我和我们的发展商讨论得出此结论。”他说道。

　　用另外的话讲，如果制度要求公司放下面子，那么通过对软件安全的漏洞披露，客户会潜意识的减少，那将影响到收入。

　　为什么是现在？

　　那么，为什么公司们花了很长时间要求软件出售商们象在其他行业一样为他们的产品负责任？

　　答案多种多样，但却是以下主要的几点：结束使用者许可证协议(EULA's)，安全性标准的缺乏，传统惯例以及新的安全威胁。

　　使用者许可证协议经常包含了“维持无害”的条款，那将使得软件出售商摆脱了对其产品质量负责任。这不象其他行业，购买者已经接受风险并承担虽有防火墙却并不安全牢固的软件以及侵入发现系统的担子。美国集团高级安全分析家安德鲁?杰可斯（Andrew Jaquith）说道。

　　但是在今天，随着不断渗入的威胁，更多重要的瞄准申请层，传统解决安全的方法已经远远不能满足需要了。这意味着安全问题不能象独立软件开发商所思考的那样解决，这问题却留给了最终用户，为什么？因为象使用者许可证协议类似的协议经常使得用户不可能获得优先使用权代码解决问题，这样应用软件从一开始就出现了问题。

　　所以，如果你不能自己解决问题，而问题又是和产品基础设计相关，那么在没有办法的情况下，产品制造商应该对产品负责任。至少从逻辑上是这么样的，直到今天，这种逻辑并没有运用到软件行业，网络监控公司（Counterpane）的财务总经理布鲁斯?斯肯内尔（Bruce Schneier）说道。

　　“软件产业已经豁免了产品责任法则；实际上是永久性的，这就是为什么不清楚的原因。”斯肯内尔说道，“如果你买了正规产品出现问题，你拥有追索权，但是如果你购买了软件产品出现问题，你却能进行追索，这是肯定的，而且这也是个新的趋势。”

　　可能这种驱使的原因之一是（也可能是影响最重要的一面）是使软件安全的技术已经存在很多年了，但却还没有被使用，杰可斯（Jaquith ）和斯肯内尔（ Schneier）说道。

　　“并不是个技术问题”斯肯内尔说道，“我们拥有所有的技术，只是还没有运用技术，安全和技术没有关系，安全和技术的使用才有关系”。

　　现在是这样的传统惯例：所有软件购买者通常不用太担心安全问题：防火墙是可以担负其工作的，但是，随着软件的运行，从工厂地面到装卸码头到其身后的办公室，黑客们有着越来越多的敏感数据－公司们不得不公开披露事件－这种传统趋势面临着四面楚歌。