资讯频道 行业应用
阅读更多

4顶
14踩

行业应用

转载新闻 开发者是否需要为软件漏洞负责?

2012-08-24 17:31 by 副主编 MnouW 评论(17) 有6896人浏览
安全 漏洞 bug
如果你因为吃了一家餐厅的食物而中毒,那么你可以起诉这家餐厅,但同样的逻辑是否能适用于软件?比如说,如果你因为用了一个软件而中毒(计算机病毒),那么你是否可以起诉软件开发者?

剑桥大学安全研究员Richard Clayton博士认为软件开发商要为软件中可避免的安全漏洞带来的损失负起责任。软件开发商一般会在最终用户许可协议中要求用户同意不因为安全漏洞而起诉它,Clayton认为应该删除这种免责的权利,他的观点得到了欧盟官员的支持。

不过,软件巨人微软利用另一个类比去反驳这种观点,它说入室抢 劫的受害者不可能想到去起诉门和窗户的制造商。

来自: Solidot
4
14
评论 共 17 条 请登录后发表评论
17 楼 zui4yi1 2012-08-29 17:14
tonly85 写道
云淡云舒 写道
zui4yi1 写道
软件开发商要为软件中"可避免的"安全漏洞带来的损失负起责任。
已经强调“可避免“的啊,我觉得非常正确。

再强调也没用,可避免的范围太广了,分为已知的和未知的,已知的那种叫BUG,未知的就代表对软件的未来应用可预测,照这个理论,未来都是可预测的,可能吗?好比家里的门,用锁就是避免陌生人进入,但是就有开锁高手把门开了,这个安全漏洞可避免吗?当然你可以换更加高级的锁,比如指纹锁,造个一模一样的指纹就搞定了,你再升级门的安全,未来还是有被破解的方式,所以我认为所谓可避免的安全漏洞本身就定义不准确。
个人认为安全问题是永无止尽的,所谓的安全也是相对于时间,空间的;冷兵器时代距离500M,两者安全,现在距离500M,一枪就会被放倒;当然你觉得安全+时间双重定义下是可避免的,可是单位时间内事物的发展是不可控的,就好比一个程序员永远不知道自己写完一段代码会需要多长时间,因为这个中间你有可能被叫去开会。
我觉得开发商应该对已知的安全漏洞负责,比如餐厅采购,大家都知道不买有毒的食物,如果你采购了,餐厅应该负责,但是被被人投毒了,这个属于未知的安全漏洞,这个就不应该餐厅负责。

按照你这种说法,手机掉水里肯定是手机制造商的问题的了,要负责任的,为什么你制造的手机不防水?这种模棱两可的事情,所以可预测的概念太模糊了。

电子设备大部分都不防水好不,这是常识?你是不是想说,手机丢掉了也是生产商的责任,手机不给钩子?
16 楼 tonly85 2012-08-29 15:30
云淡云舒 写道
zui4yi1 写道
软件开发商要为软件中"可避免的"安全漏洞带来的损失负起责任。
已经强调“可避免“的啊,我觉得非常正确。

再强调也没用,可避免的范围太广了,分为已知的和未知的,已知的那种叫BUG,未知的就代表对软件的未来应用可预测,照这个理论,未来都是可预测的,可能吗?好比家里的门,用锁就是避免陌生人进入,但是就有开锁高手把门开了,这个安全漏洞可避免吗?当然你可以换更加高级的锁,比如指纹锁,造个一模一样的指纹就搞定了,你再升级门的安全,未来还是有被破解的方式,所以我认为所谓可避免的安全漏洞本身就定义不准确。
个人认为安全问题是永无止尽的,所谓的安全也是相对于时间,空间的;冷兵器时代距离500M,两者安全,现在距离500M,一枪就会被放倒;当然你觉得安全+时间双重定义下是可避免的,可是单位时间内事物的发展是不可控的,就好比一个程序员永远不知道自己写完一段代码会需要多长时间,因为这个中间你有可能被叫去开会。
我觉得开发商应该对已知的安全漏洞负责,比如餐厅采购,大家都知道不买有毒的食物,如果你采购了,餐厅应该负责,但是被被人投毒了,这个属于未知的安全漏洞,这个就不应该餐厅负责。

按照你这种说法,手机掉水里肯定是手机制造商的问题的了,要负责任的,为什么你制造的手机不防水?这种模棱两可的事情,所以可预测的概念太模糊了。
15 楼 zui4yi1 2012-08-29 13:53
zui4yi1 写道
云淡云舒 写道
zui4yi1 写道
软件开发商要为软件中"可避免的"安全漏洞带来的损失负起责任。
已经强调“可避免“的啊,我觉得非常正确。

再强调也没用,可避免的范围太广了,分为已知的和未知的,已知的那种叫BUG,未知的就代表对软件的未来应用可预测,照这个理论,未来都是可预测的,可能吗?好比家里的门,用锁就是避免陌生人进入,但是就有开锁高手把门开了,这个安全漏洞可避免吗?当然你可以换更加高级的锁,比如指纹锁,造个一模一样的指纹就搞定了,你再升级门的安全,未来还是有被破解的方式,所以我认为所谓可避免的安全漏洞本身就定义不准确。
个人认为安全问题是永无止尽的,所谓的安全也是相对于时间,空间的;冷兵器时代距离500M,两者安全,现在距离500M,一枪就会被放倒;当然你觉得安全+时间双重定义下是可避免的,可是单位时间内事物的发展是不可控的,就好比一个程序员永远不知道自己写完一段代码会需要多长时间,因为这个中间你有可能被叫去开会。
我觉得开发商应该对已知的安全漏洞负责,比如餐厅采购,大家都知道不买有毒的食物,如果你采购了,餐厅应该负责,但是被被人投毒了,这个属于未知的安全漏洞,这个就不应该餐厅负责。

扯,搞不清什么是可避免,看不清责任问题。可避免就是指本是你责任范围内的事,你没做到,那当然要赔。比如,你买个电视,有质量问题,难道不是要换或赔吗?你的手机用了几天坏了,不是要去换吗?如果掉进水里了,这个就不是开发商的问题了,如果你丢了,这个也不是开发商的问题。你说的门关不关的事,那是用户的事,这跟开发商有什么关系?你是不是想说,钥匙丢了也是开发商的事?如果锁本身有质量问题,如任意钥匙都能开,那这个就是开发商的事,因为这是可避免的;如果门的某一部位是偷工减料,随便一碰就坏,这也是开发商的事。

顺便说一下,所谓可避免,就是指根据现有的方法能检测出来的,跟未来怎样,扯不上关系。如果跟未来的事情有近似关系,可以说,有责任,但可能不负全部责任。
14 楼 zui4yi1 2012-08-29 13:49
云淡云舒 写道
zui4yi1 写道
软件开发商要为软件中"可避免的"安全漏洞带来的损失负起责任。
已经强调“可避免“的啊,我觉得非常正确。

再强调也没用,可避免的范围太广了,分为已知的和未知的,已知的那种叫BUG,未知的就代表对软件的未来应用可预测,照这个理论,未来都是可预测的,可能吗?好比家里的门,用锁就是避免陌生人进入,但是就有开锁高手把门开了,这个安全漏洞可避免吗?当然你可以换更加高级的锁,比如指纹锁,造个一模一样的指纹就搞定了,你再升级门的安全,未来还是有被破解的方式,所以我认为所谓可避免的安全漏洞本身就定义不准确。
个人认为安全问题是永无止尽的,所谓的安全也是相对于时间,空间的;冷兵器时代距离500M,两者安全,现在距离500M,一枪就会被放倒;当然你觉得安全+时间双重定义下是可避免的,可是单位时间内事物的发展是不可控的,就好比一个程序员永远不知道自己写完一段代码会需要多长时间,因为这个中间你有可能被叫去开会。
我觉得开发商应该对已知的安全漏洞负责,比如餐厅采购,大家都知道不买有毒的食物,如果你采购了,餐厅应该负责,但是被被人投毒了,这个属于未知的安全漏洞,这个就不应该餐厅负责。

扯,搞不清什么是可避免,看不清责任问题。可避免就是指本是你责任范围内的事,你没做到,那当然要赔。比如,你买个电视,有质量问题,难道不是要换或赔吗?你的手机用了几天坏了,不是要去换吗?如果掉进水里了,这个就不是开发商的问题了,如果你丢了,这个也不是开发商的问题。你说的门关不关的事,那是用户的事,这跟开发商有什么关系?你是不是想说,钥匙丢了也是开发商的事?如果锁本身有质量问题,如任意钥匙都能开,那这个就是开发商的事,因为这是可避免的;如果门的某一部位是偷工减料,随便一碰就坏,这也是开发商的事。
13 楼 云淡云舒 2012-08-28 17:37
zui4yi1 写道
软件开发商要为软件中"可避免的"安全漏洞带来的损失负起责任。
已经强调“可避免“的啊,我觉得非常正确。

再强调也没用,可避免的范围太广了,分为已知的和未知的,已知的那种叫BUG,未知的就代表对软件的未来应用可预测,照这个理论,未来都是可预测的,可能吗?好比家里的门,用锁就是避免陌生人进入,但是就有开锁高手把门开了,这个安全漏洞可避免吗?当然你可以换更加高级的锁,比如指纹锁,造个一模一样的指纹就搞定了,你再升级门的安全,未来还是有被破解的方式,所以我认为所谓可避免的安全漏洞本身就定义不准确。
个人认为安全问题是永无止尽的,所谓的安全也是相对于时间,空间的;冷兵器时代距离500M,两者安全,现在距离500M,一枪就会被放倒;当然你觉得安全+时间双重定义下是可避免的,可是单位时间内事物的发展是不可控的,就好比一个程序员永远不知道自己写完一段代码会需要多长时间,因为这个中间你有可能被叫去开会。
我觉得开发商应该对已知的安全漏洞负责,比如餐厅采购,大家都知道不买有毒的食物,如果你采购了,餐厅应该负责,但是被被人投毒了,这个属于未知的安全漏洞,这个就不应该餐厅负责。
12 楼 zui4yi1 2012-08-27 16:17
软件开发商要为软件中"可避免的"安全漏洞带来的损失负起责任。
已经强调“可避免“的啊,我觉得非常正确。
11 楼 tonly85 2012-08-27 12:12
Richard Clayton博士的比喻有点不贴切,更贴切的是餐厅吃饭,结果对面餐厅恶性竞争对饭投毒,那是不是也要厨师负责呢?
第一次这么支持微软啊。
10 楼 archy123 2012-08-27 11:36
扯淡的命题。如果按这个执行,任何行业都能因为这种问题追责了。
9 楼 jakieyoung 2012-08-27 10:36
微软的比喻真有意思,
引用
窗户的制造商
,嘿嘿
8 楼 泡咖啡 2012-08-27 10:19
这个怕个球... 微软os, IE那么多漏洞,追责? 开玩笑
7 楼 云淡云舒 2012-08-27 10:18
观点太坑爹,什么叫个可避免的安全漏洞,这个安全漏洞的定义就存在不明确性。
6 楼 cosmo1987 2012-08-25 15:51
还是支持微软的观点。餐厅中的食物中毒的毒是不受非生产商的人为因素而改变的。它在食物产生之时就以存在于食物之中,出自厨师之手。而如果类比于软件开发过程中的中毒的话。应该指向,当软件开发过程当中。改病毒就已经在该软件当中,出自程序员之手。是不受外人的干预。这样的责任应该由生产商来承担,就好比由餐厅来承担,承担对象应该是一个可以承担法律责任的合法人的角色,而不是个人。

而如果软件以成产品,当发布处于之后,由非生产商所产生的病毒通过生产商的软件使用户中毒,那就不应该由软件生产商来承担责任了。这个是软件生产商所不可控的。就好比在餐厅吃饭,餐厅制作了一份食物给客户,而食物已经送到了客户手中,在客户享用的过程中,由其他非餐厅人员对食物下毒,从而让客户中毒的事件。则不应该由餐厅来承担责任,最多餐厅参与协助调查。
5 楼 BBjava 2012-08-25 09:52
个人认为,如果是明知道有bug,还抱侥幸心理不改的,应该追究.未知的bug追究开发商吧。
4 楼 沙舟狼客 2012-08-24 23:16
icefishc 写道
alvin198761 写道
如果要找程序员追究责任,那么,必须先看看是什么原因造成的,

文中的软件开发者指的是软件开发商不是程序员个人。

只要追究到开发商,你们boss肯定会追究到个人的!
3 楼 TheMatrix 2012-08-24 20:38
微软都不保证,还能指望什么。。。
2 楼 icefishc 2012-08-24 20:09
alvin198761 写道
如果要找程序员追究责任,那么,必须先看看是什么原因造成的,

文中的软件开发者指的是软件开发商不是程序员个人。
1 楼 alvin198761 2012-08-24 18:00
如果要找程序员追究责任,那么,必须先看看是什么原因造成的,

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 软件快速交付真的需要以安全为代价吗?

    配套工具链和技术也日趋完善,在保证快速频繁交付软件的同时,能够确保最大程度的软件安全性,另外作为开发团队中的每个成员,需要时刻保持安全意识,DevSecOps 强调的是人人参与安全,人人为安全负责,安全是大家的...

  • 开源软件有漏洞,作者需要负责吗?是的!

    oschina2013)近日,禅道创始人王春生在开源中国发布的一篇文章引起了众多同行的围观,原因是他分享了一个开源协议在中国面临的 bug:开源软件许可协议通常会表明作者不对用户使用该开源软件所造成的任何问题负责。...

  • 开源软件漏洞安全风险分析

    聚焦源代码安全,网罗国内外最新资讯!作者:冯兆文、刘振慧 / 西北工业大学、中国航空工业发展研究中心一、引言2020年2月,国家信息安全漏洞共享平台(CNVD ) 发布了关于Apache...

  • 后端开发人员需要具备哪些软件开发经验?

    他们需要掌握多种技术和工具,包括编程语言、数据库、Web框架、RESTful API、版本控制、软件测试、虚拟化和安全等方面。通过这些工作,后端开发人员可以为前端提供优质的数据和服务,并让Web应用程序更加高效和可靠...

  • 软件测试人员需不需要懂代码?需要什么技能才行?

    可以这样说,做初级测试,特别是手工点点的阶段,是不需要懂代码的,但是只会手工测试,严格意义上来说,是不能称之为“软件测试工程师的” 很多人当初也是抱着测试不需要懂代码,才选择了这个行业,这个就要看对...

  • 这年头Windows电脑还需要杀毒软件吗?

    梦晨 发自 凹非寺量子位 | 公众号 QbitAI这年头Windows电脑还需要杀毒软件吗?现在搜索这个问题,会发现很多建议都是“裸奔就行”。也就是说对于普通人,只用微软出厂自带的免费Windows Defender足够了。那么非普通...

  • 史诗级漏洞爆发,Log4j 背后的开源人何去何从?

    据 Apache 软件基金会 Logging Services 的 PMC 成员 Volkan Yazıcı 在推特上给出的解释,此次漏洞是“为向后兼容保留的旧功能”而引发的: “Log4j 维护者一直在为缓解措施而失眠;修复错误、文档和 CVE,还要...

  • 软件供应链的漏洞及攻击类型

    由于互联网信息技术产业的高速发展和软件开发需求的急速扩增,导致软件开发的难度与复杂程度不断加大,软件开发生命周期中的每一个环节都存在引入漏洞的可能性,导致软件供应链的安全风险无处不在,非法攻击者一旦对...

  • 开源软件没你想象中那么安全,Java 开发者尤其要警惕

    Snyk 今天发布了2019年开源安全现状调查报告,这是一家针对开源项目提供安全服务的知名公司。 前言 为了更好地了解开源领域的安全现状,以及我们该如何让开源世界的安全性变得更好,... 来自 Snyk 漏洞数据库的...

  • “让开发者爱上安全测试”系列之源码安全测试谁负责?

    顺着应用安全的发展,对于源代码安全测试,在源代码层面是进行安全漏洞的测试与防范,避免产生所谓的“0-day”漏洞,现在已是大家的共识,成为构建软件安全保障体系中必备环节。但我也常常听到有人抱怨“源代码安全...

  • 除了写软件,软件工程师何去何从?

    在非专业人的眼里,似乎软件工程师出了写代码还是写代码。当然,也有不了专业人士会问到这几个问题:“我接下来应该学哪种语言?”、“如何准备技术面试?”、“你们招人吗?” 这个问题无法给出很好的答案,那就是,...

  • 一般网站有哪些常见漏洞?

     作为负责网站日常维护管理工作Web管理员,应该及时跟踪并安装最新的、支撑Web网站运行的各种软件的安全补丁,确保攻击者无法通过软件漏洞对网站进行攻击。 除了软件本身的漏洞外,Web服务器、数据库等不正确的...

  • 个人开发者能否靠开源获利?

    如今,开源软件已经成为了很多科技厂商选择的一种商业模式。谷歌、微软、亚马逊等全球顶尖的软件商业公司都有着自己的开源产业生态,红帽、Elastic、PingCAP 等专门围绕开源软件创业的公...

  • “让开发者爱上安全测试”系列之---源码安全测试谁负责?

    “让开发者爱上安全测试”系列之—源码安全测试谁负责? 前言: 顺着应用安全的发展,对于源代码安全测试,在源代码层面是进行安全漏洞的测试与防范,避免产生所谓的“0-day”漏洞,现在已是大家的共识,成为构建...

  • CSO 们关注的软件供应链安全十个关键问题

    这篇文章给大家分享一下我和超过 180 家各行业企业的安全负责人和一线的工程师们一起交流关于企业软件供应链治理问题过程的一些收获,把大家讨论和关心的共性问题做一些总结和提炼,也结合我自己在产品上的一些思考...

  • 你想成为一名核心开发者吗?

    虽然核心开发者的准确定义尚存异议,但这个术语一般是指为区块链底层技术(比如底层协议本身或底层密码学技术、 P2P 技术等)做开发的开发人员。至于以太坊,除了指实现各种客户端,还指基础层的基础设施,如扩容...

  • 常见的安全测试漏洞

    以上传 jpg 文件为例,先上传该文件,抓包修改后缀名为实际的后缀名.php,由于上传的时候是 jpg,所以浏览器发送的数据包中,Content-Type 的类型默认为 jpg,那么此时发送的文件就可以绕过后端的检测。(2)判断...

  • 从SDL到DevSecOps:腾讯云是如何更早地收敛安全漏洞的?

    上图描述了在开发运维不同阶段的漏洞修复成本,可以发现越早成本越低,漏洞也更容易修复,所以这就是为什么软件安全需要更左移,更前置。 越早的收敛漏洞成本越低,而软件安全开发模型就是用于解决的方案。 安全...

  • 【微服务 Spring Cloud 5】云原生中为什么需要API网关?

    八、为什么需要 API 网关? 九、结论 越来越多的组织正在转向 API 驱动的架构。 这种强大的方法可帮助他们快速创新,与同类最佳的外部服务集成,并以前所未有的速度交付新服务。 然而,随着 API 对经营业务变得...

  • 《刺客信条》等开发者如何解决无处不在的游戏Bug?

    ”这也是为什么开发者需要玩家提供足够的信息。如果开发者能够重现一个Bug,他们就能知道计算机在什么情况下出现了问题,并找到问题的根源。通常,真正的工作,在于找到引发错误的各种罕见游戏场景和各种参数。 但...

Global site tag (gtag.js) - Google Analytics