Oracle首席安全官Davidson：规范软件编码

按照甲骨文的首席安全官的意思，在考虑安全问题的时候，软件提供商需要在其中扮演重要角色，但是这也需要客户的投入。只有客户积极的投入才能推动安全现状的改变。

她将安全问题视为行业中最大的需要讨论的软件问题--该公司曾经这样描述他们的产品--他们的产品是"牢不可破"的。

虽然她不得不承认创建一个完全安全的产品是不可能的，甲骨文的首席安全官（CSO）Mary Ann Davidson正在面对所有的挑战。

在接受ZDNet UK的姊妹网站CNETAsia采访的过程中，在讨论到甲骨文在2002年所声称的那个声名狼藉的"牢不可破的"市场宣传时，虽然大卫多少有些难堪，但是她仍然坚持认为，与其竞争对手相比较而言，在安全性方面，甲骨文的产品仍然占有很大的优势。

然而，对于IT提供商来说，她强调，在保证他们产品的安全性的同时，需要他们统一采取行动，并且需要他们努力做好自己的本职工作。同时她表示，对于那些编写的非常脆弱的软件来说，如今仍然存在着大量的安全攻击。并且补充道，目前IT的安全状况"并不怎么好"。

问：目前，由于在各种应用程序中发现的安全漏洞的数量在持续不断的增加，因此，行业的观察者呼吁，要出台一些相关的法规来规范软件的研发。你是如何看待这个问题的？
答：在去年召开的一个关于网络安全方面的一个商务性的圆桌会议上，来自美国的150家最大的公司的首席执行官们表示，对于用户和提供商来说，要实现网络空间的安全性，双方都有责任。然而，虽然他们都赞同这种观点，但是，由于软件应用程序存在着严重的质量问题--他们很容易遭受安全攻击，因此他们中的大部分人对此都感到非常苦恼。一个非常尖锐的现实是，有不少首席执行官--而不仅仅是那些公司的网络安全人员向他们的IT提供商们抱怨，希望这些IT提供商们能够在软件研发方面做的更好一些。如果你注意到了这一点的话，你就会明白目前的IT安全状况和人们的期望相差甚远。

可以说，如今在各个企业中， IT更多的成了一个企业的基础设施。几乎每个公司都有自己的IT中枢，如果IT不能正常运转的话，企业的业务将会受到很大的影响。如果土木工程师修建桥梁的方法和软件研发人员编写软件的方法一样的话，你可以想一想，世界将会变成什么样子。答案是只有死路一条。人们不用担心这个建筑是否会出现在那里，但是，我们都能够接受这样一种事实：IT系统是随时都有可能会出现崩溃的。作为一种基础设施，IT需要和物理的基础设施一样可靠和安全。总而言之（而且这也是我的结论），你所得到的回答是目前的安全状况并不好--存在许多安全问题。

由于用户们拿到的软件质量很差，因此，他们经常不知道运行这些软件后会得到什么、而且他们无法得到更多的修正错误的方法，所以目前的软件市场存在着很多的不足。如果可能的话，我们在不考虑这些公开存在的安全问题以及这些市场不足的情况下，还需要进行一些市场修正方面的工作。

出台相关的法规只是其中的一个选项，但是还有很多其他的力量可能可以潜在的对市场进行修正。特别是用户的要求越来越严格将有助于这些市场力量的形成。（我们有必要）帮助用户，在用户购买IT提供商的产品之前能够向这些IT提供商们提出正确的问题。这些提供商自己使用他们自己开发的软件吗？如果他们自己不使用这些软件，那他为什么要让你来冒这个风险？他们使用他们的竞争对手的软件吗？如果是这样的话，他为什么要这样做？在保证代码安全实践方面，他们经常培训他们的研发人员吗？安全问题不仅仅是代码的质量方面的问题，大多数人们不得不应用的补丁的原因是由于有人在编写软件时做的很不好。 所以，你应该问一问你的提供商，在编码实践方面，他们是否培训过他们的研发人员。他们是否有一个很好的研发过程，并且其安全性是否包含在这个过程之中？在他们开始编写代码之前，他们是否已经开始考虑有关的安全问题了？他们是否使用第三方的标准来审查自己的软件，比如说，他们是否会让公用标准评估（Common Criteria evaluation）来对其产品进行评估？如果他们知道自己的产品存在安全缺陷的话，他们是否会停止销售这些有问题的产品？非常有必要知道的是，你的提供商是否将你的安全放在第一位，并且不会由于他们需要计算季度性的财政数字而向你销售或者让你试用任何一个可能有很多安全漏洞的产品。