安全专家对Oracle开火

当Oracle这样的厂家态度强硬时，您就会变得更加强硬？
Litchfield: 是的。很遗憾我正是这样行事的。但是如果你不得不保护自己，那么就保护自己吧。我更愿意去工作，就象我对微软和IBM那样，与他们的安全响应团队一起工作。我们与微软和IBM拥有良好的关系。有什么比良好的关系好的成事方法呢？我可不想站在浑水中互相指责。
 
我与Oracle的关系有所缓解，他们理解这并不是一场意志上的对决。我努力使他们了解他们数据库所存在的问题，因为这些问题对我造成了直接的对影响。如果有人闯入数据库服务器然后窃取了我的信息，付出代价的是我，而不是Oracle/
 
有人可能会认为这有点象敲诈。
Litchfield: 我可从来没有向Oracle索要过财物。如果人们这么想，那么他们得到的信息可能有误。
 
那么微软也没有雇用你来说SQL Server 2005是安全的？
Litchfield: 我说微软的产品是安全的但是没有从微软那里得到什么报酬，如果任何人在SQL Server 2005中找到bug，那个人最好是我。如果别人找到什么bug,它会破坏我将来判断产品是否安全的能力。因此，如果在SQL Server 2005中的确存在bug，我希望是我首先发现。我很期待。

微软过去和现在是否是NGS软件的客户？
Litchfield: NGS的确在微软工作，但我们并不是受雇来说他们是安全的——我们被雇来使他们的产品更安全。对于微软和NGS来说，现在以及将来的独立性都很重要。否则我们工作的正确性以及微软为使产品更安全所进行的努力就会遭到怀疑。这就是NGS 依然在为微软的产品提出安全建议的原因。
 
我听说您曾经担任SQL Server 2005的安全审计工作，是这样吗？
Litchfield: 我不能说具体的说到我们所做的项目。这样，如果有人对SQL Server是否比Oracle安全的问题存在疑问，他所要做的就是想想包括那么多顶级研究人员在内的很多人都曾经研究过两个产品，寻找过安全漏洞。而SQL Server已经很长时间没有被发现问题了。我再重复一遍，如果有人在SQL Server 2005中发现严重的漏洞，那么我希望那个人是我。
 
Oracle是否曾经是NGS软件的客户？
Litchfield: 是的，过去我们与Oracle合作过几个项目。
 
NGS软件的主要业务是什么?
Litchfield:我们的业务分三个方面。我们销售评估安全状况和是否遵从萨班斯 - 奥克斯利法案的工具；我们为一些组织机构提供顾问服务；而且我们还进行漏洞调研并销售调研报告。