flashsky
那天去TENCENT做安全测试的交流,听到一个很奇怪的理论:TENCENT不是卖软件的,是卖软件之上的服务的,由于软件不直接收到钱,不愿意对软件的安全问题花钱,只愿意对服务的安全问题买单。
但我觉得
1)服务是基于软件的,没有了软件,也就没有了服务的载体。虽然卖的是服务,没有靠软件直接收钱,但是用户对软件的信任度会直接影响到服务。无论是卖服务还是卖软件,都必须且有责任改善自身产品的安全质量,以保护自己用户的安全,不能因为你不是卖软件的,但用户因为使用你发布的软件遭受到的安全问题你就可以置之不理。
2)基于服务的软件更需要注重安全,我可以说个案例,04,05年:TENCENT的QQ附带的QQMAIL工具,大量拷贝微软IE的DLL到自己目录下使用而很少跟进IE的补丁升级,导致微软IE补丁修复后的漏洞,QQMAIL里还存在,结果导致我认识的很多朋友因为这个遭受过重大损失,基本都弃用QQMAIL工具,我的机器也因为这样的安全漏洞被成功入侵过,虽然及时发现没有导致更多损失,但是到现在我都养成习惯,哪怕是现在QQMAIL改成WEB形式了,QQMAIL里的来信一律不收不看,也不会以QQMAIL作为自己使用的邮件,另外也对QQ会大量使用IE DLL的浏览器也拒绝使用并且让所有认识的亲戚都不要使用,不是因为对TENCENT有偏见,而是对以前因这些产品的安全问题导致自身的安全的事件记忆深刻。可以说,只要用户明白了自己的损失是某个软件的安全漏洞造成的,都会长期丢弃对应软件之上的服务的,而且基于通讯服务的软件,对安全性要求更高,一个不可利用的CRASH如果能导致用户无法使用软件,也会造成服务的失效,所以基于服务的软件更需要注重安全。
以上所言,是希望TENCENT主管安全的大佬们能够思考一下,并无批评TENCENT之意,就国内软件企业对自身产品安全的重视和实施安全的力度和能力而言,TENCENT和阿里是我觉得国内做得最好的2家公司。
