科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道安全专家对Oracle开火

安全专家对Oracle开火

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

袭虫猎人David Litchfield说Oracle不应该在数据库安全领域如此自鸣得意。他所代表的NGS软件公司,过去曾经为Oracle提供服务,现在则为微软服务。

作者:Joris Evers 来源:zdnet.com.au 2007年3月21日

关键字: ORACLE

  • 评论
  • 分享微博
  • 分享邮件

当Oracle这样的厂家态度强硬时,您就会变得更加强硬?
Litchfield: 是的。很遗憾我正是这样行事的。但是如果你不得不保护自己,那么就保护自己吧。我更愿意去工作,就象我对微软和IBM那样,与他们的安全响应团队一起工作。我们与微软和IBM拥有良好的关系。有什么比良好的关系好的成事方法呢?我可不想站在浑水中互相指责。
 
我与Oracle的关系有所缓解,他们理解这并不是一场意志上的对决。我努力使他们了解他们数据库所存在的问题,因为这些问题对我造成了直接的对影响。如果有人闯入数据库服务器然后窃取了我的信息,付出代价的是我,而不是Oracle/
 
有人可能会认为这有点象敲诈。
Litchfield: 我可从来没有向Oracle索要过财物。如果人们这么想,那么他们得到的信息可能有误。
 
那么微软也没有雇用你来说SQL Server 2005是安全的?
Litchfield: 我说微软的产品是安全的但是没有从微软那里得到什么报酬,如果任何人在SQL Server 2005中找到bug,那个人最好是我。如果别人找到什么bug,它会破坏我将来判断产品是否安全的能力。因此,如果在SQL Server 2005中的确存在bug,我希望是我首先发现。我很期待。

微软过去和现在是否是NGS软件的客户?
Litchfield: NGS的确在微软工作,但我们并不是受雇来说他们是安全的——我们被雇来使他们的产品更安全。对于微软和NGS来说,现在以及将来的独立性都很重要。否则我们工作的正确性以及微软为使产品更安全所进行的努力就会遭到怀疑。这就是NGS 依然在为微软的产品提出安全建议的原因。
 
我听说您曾经担任SQL Server 2005的安全审计工作,是这样吗?
Litchfield: 我不能说具体的说到我们所做的项目。这样,如果有人对SQL Server是否比Oracle安全的问题存在疑问,他所要做的就是想想包括那么多顶级研究人员在内的很多人都曾经研究过两个产品,寻找过安全漏洞。而SQL Server已经很长时间没有被发现问题了。我再重复一遍,如果有人在SQL Server 2005中发现严重的漏洞,那么我希望那个人是我。
 
Oracle是否曾经是NGS软件的客户?
Litchfield: 是的,过去我们与Oracle合作过几个项目。
 
NGS软件的主要业务是什么?
Litchfield:我们的业务分三个方面。我们销售评估安全状况和是否遵从萨班斯 - 奥克斯利法案的工具;我们为一些组织机构提供顾问服务;而且我们还进行漏洞调研并销售调研报告。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章