加州山景城-Mozilla的新任的安全负责人是不会告诉你究竟是Firefox 安全,还是IE更安全。
Window Snyder 是前微软职员,现任Mozilla 安全部门负责人。
她在微软的时候曾经帮助创建Windows 安全工作流程。她还举办了蓝帽会议,将黑客邀请到微软,暴露自己产品的漏洞。
她对CNET新闻网站表示,在这一新职位上,Snyder计划与外部世界分享Mozilla 的安全机密,加强与安全研究人员社区的联系,去除Mozilla 产品当中老旧,相对危险的代码。
Snyder自称是一名极客(Geek),她还是一名程序员的女儿。在她的少女时代,她的母亲在德州仪器99型电脑上就教她Basic 语言编程。她担任过@Stake公司的安全咨询员,这家公司后来被赛门铁克收购。
以下是CNET对她的专访。
问:你为什么对安全感兴趣?
Snyder:我学过数学以及计算机科学,这两门学科让我接触到了加密学。从那以后,我就对如何开发安全程序以及如何保护安全系统产生了兴趣。我曾是一名软件工程师,研究安全程序的机会也相当的多。
你的安全职业生涯开始于什么时候?
Snyder:我从上个世纪90年代就开始参与安全研究组织的活动了。
1990年代末期,安全行业确实发生了翻天覆地的变化:“互联网安全系统”(ISS )等公司开始出现。这些技术终于实现了商业化,因此我从开发转型到了咨询。2000年,我在@Stake公司工作。之前,我做的工作并不是纯粹的安全咨询。
你信奉的安全法则是什么?
Snyder:没有什么是安全的。这一点很重要,无论你是在开发软件,还是一名安全测试人员,都应该牢记这一点。要不断的想办法去保护系统,因为总有人准备入侵它们,总有人想利用系统中的漏洞,总有人想伤害你的客户。
你在微软呆了三年,你在那里做什么?
Snyder:一开始,我为“确保Windows 安全”项目工作,开发算法,与不同的产品团队进行协调,以确保微软产品的安全。我设立了一个职位,专门全面负责操作系统的安全。微软的操作系统开发团队有许多负责人,有人进行本地化工作,有些人负责性能,还有人负责与合作伙伴产品的对接,但之前就是没有负责安全的人。
Windows XP SP2服务包上市以后,我是一个全新的社区团队的第一人,我负责将一些非正式的社区信息反馈给微软。我们创办了蓝帽大会。
现在你在Mozilla 了。你觉得有挑战性吗?还是可以高枕无忧了?
Snyder:需要做很多的事情。Mozilla 的情况确实很不一样,因为他们有社区。我们的开发能够仰仗于社区。这一点最令我感到兴奋,因为开源项目的本质就是这样,其他人也可以学到我们同样学到的东西。
在一个商业环境中,你实际上关闭了源代码。人们看到成果,但却看不到过程。在Mozilla ,Firefox ,你既可以看到成果,又可看到过程步骤。
你认为Mozilla 产品的安全性如何?
Snyder:还需要做大量的工作。
一点都不安全吗?
Snyder:没有什么是安全的,因此,改进无疑是必要的。
Firefox 比微软的IE浏览器更安全吗?
Snyder:这要看你如何来衡量安全了。我认为衡量安全最重要的一个尺度就是:厂商向用户发放补丁的速度有多快?然后就是,一旦补丁就位,实施补丁的时间有多长?
我认为Mozilla 已经减少了漏洞发现与补丁发放之间的这段时间,并且漏洞的数量在降低。
那么,请用一句话来回答这一问题:Firefox 比IE更安全吗?
Snyder:我认为这个问题无法用一句话来回答。
你不能说是或不是吗?
Snyder:你需要注意每天的危险。你需要看整个的流程,如何响应,如何实现流程的透明化。
Mozilla 或它的产品面临任何的安全挑战吗?
Snyder:我们在加强产品的安全性方面有巨大的机会,从我们的功能角度,到适应变化等等,比如,通过去除死代码或者不经常使用的代码,我们可以降低攻击发生的频率。
你在微软干过,现在又在Mozilla 工作。你如何看待社区?一些安全研究员已经发现,Firefox 当中也存在一些漏洞。
Snyder:我将安全研究社区看作是Mozilla 社区的另外一个组成部分。社区成员能够贡献他们的安全设计,他们可以对功能进行建议。
他们能够参与安全设计,他们可以建议功能,他们能够帮助我们检查漏洞,他们还可以帮我们进行测试。他们能够开发我们需要的检测工具,以便发现更多的漏洞。这方面的内容很丰富(比商业产品丰富多了)。
在你来Mozilla 之前就已经在使用Firefox 浏览器了吗?
Snyder:是的。我使用每种浏览器。我在家里面有苹果电脑,还有安装了Linux 操作系统的PC. 我的家里面有很多的电脑平台以及软件。
你现在的工作时间比以往更长了吗?
Linux :可能是这样的,我现在花大量的时间提高自己的工作速度。对我而言,这是一份全新的工作,因此你需要快马加鞭,重新开始。
这就意味着要花很多的时间与人谈话,检查所有原来的bug。
网友评论