Тезис о том, что качественное и защищенное ПО лучше наколеночных и дырявых поделок мало у кого вызывает сомнение. Как минимум на уровне восприятия. А вот вопрос о раскрытии информации об уязвимостях в ПО (Vulnerability Disclosure) регулярно вызывает дискуссии на различных конференциях и страницах профессиональной прессы. Раскрывать или нет? Похвалить исследователя или наказать? Вопросов много. На один из них - "Как влияет раскрытие информации об уязвимостях на курс акций разработчика ПО? - дан ответ исследователями Института Карнеги Меллона.
В результате 5-тилетних исследований Рауль Теланг и Сунил Ваттал пришли к выводу, что в среднем вендор теряет около 0.6% от стоимости акций при опубликовании информации об уязвимости. При этом в зависимости от условий опубликования и типа уязвимости величина падения может меняться. Например, если патча к моменту опубликования информации об уязвимости нет, то величина падения будет выше. Также она будет выше, если уязвимость имеет отношение к нарушению конфиденциальности. Также рынок меньше наказывает вендора падением цены акций, если публикация уязвимости была сделана самим производителем, а не третьей стороной (независимым исследователем или конкурентом). И, наконец, падение курса акций выше, если опубликование факта наличия уязвимости произошло в популярной прессе, а не в специализированных СМИ. При этом влияние на курс акций имеет место быть только в первый день опубликования - во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает.
Не притянуто ли за уши данное исследование к стоимости акций? Исследователи говорят, что нет и в качестве доказательства приводят такую логику. Поставщик тратит время и деньги на устранение уязвимости, разработку патча и распространение его среди клиентов. Это повышает стоимость ПО и снижает прибыль. Довод 2. Установка патча снижает лояльность клиентов, которые меньше обращаются к поставщику ПО, а то и вовсе уходят к конкурентам. Опять уменьшение потока денежных средств.
Какие выводы можно сделать из этого исследования? Ускорять вывод продукта на рынок с целью обхода конкурентов может быть и надо, но не в ущерб тестированию качестве и защищенности ПО. Затраты на устранение уязвимости обойдутся дороже.
В результате 5-тилетних исследований Рауль Теланг и Сунил Ваттал пришли к выводу, что в среднем вендор теряет около 0.6% от стоимости акций при опубликовании информации об уязвимости. При этом в зависимости от условий опубликования и типа уязвимости величина падения может меняться. Например, если патча к моменту опубликования информации об уязвимости нет, то величина падения будет выше. Также она будет выше, если уязвимость имеет отношение к нарушению конфиденциальности. Также рынок меньше наказывает вендора падением цены акций, если публикация уязвимости была сделана самим производителем, а не третьей стороной (независимым исследователем или конкурентом). И, наконец, падение курса акций выше, если опубликование факта наличия уязвимости произошло в популярной прессе, а не в специализированных СМИ. При этом влияние на курс акций имеет место быть только в первый день опубликования - во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает.
Не притянуто ли за уши данное исследование к стоимости акций? Исследователи говорят, что нет и в качестве доказательства приводят такую логику. Поставщик тратит время и деньги на устранение уязвимости, разработку патча и распространение его среди клиентов. Это повышает стоимость ПО и снижает прибыль. Довод 2. Установка патча снижает лояльность клиентов, которые меньше обращаются к поставщику ПО, а то и вовсе уходят к конкурентам. Опять уменьшение потока денежных средств.
Какие выводы можно сделать из этого исследования? Ускорять вывод продукта на рынок с целью обхода конкурентов может быть и надо, но не в ущерб тестированию качестве и защищенности ПО. Затраты на устранение уязвимости обойдутся дороже.