Продолжение закрытой темы "Качество кода продуктов ЛК"

[devteev]

Евгений Валентинович, странную Вы заняли позицию. Мне, как специалисту по ИБ она кажется просто дикой! Вашей компании сообщили об уязвимости в программном обеспечении, поставляемой Вашей же компанией. Вместо того чтобы оперативно исправить ошибку, допущенную Вашими программистами, Вы рассуждаете о том, что если каждую уязвимость исправлять у Вас просто ресурсов не хватит. Причем я бы еще мог понять, когда речь идет про фундаментальную уязвимость, которая затрагивает всю архитектуру поставляемого продукта (но тогда нужно открыто про это сказать, что в таких-то версиях есть такая-то уязвимость и, начиная с такой-то версии уязвимость будет устранена, а не отмалчиваться в водя в заблуждения Ваших клиентов), но когда исправление уязвимости – это незначительные поправки кода, в двойне Ваша позиция кажется странной. Ваш продукт нацелен защитить информационную систему от угроз ИБ, а Вы совершенно откровенно говорите, что поставляете свой продукт с неприкрытым вектором на отказ в обслуживании. А это, кстати, риск ИБ, причем в нашей стране именно этому риску зачастую уделяется гораздо большее внимание.

 

Модераторам - тему пока не трогать.

[E.K.]

Прошу самые разные прощения за всяческие задержки - почту приходится в самолётах чекать, Инет по мере его появления, и к тому же "On The Road" http://forum.kasperskyclub.ru/index.php?showforum=46 идёт повышенным приоритетом

 

--- Итак, по тексту.

 

Немного не понял логической связки между четвертым и пятым предложением - как раз в случае катастрофических ошибок их нужно исправлять немедленно, бросая на это все ресурсы. Как это и происходит в компании - если вдруг нам сообщают о критически важных уязвимостях (кстати, вроде как давно такого не было) - работы ведутся и по выходным, и в новогодние каникулы. И даже сроки выпуска новых продуктов сдвигаются (что, между прочим, неизбежно скажется на доходах компании). Это в случаях крайне критических ошибок.

 

Рассматриваемый случай относится к ошибкам крайне НЕкритическим - если собрать все софтины, установленные на этаком гипотетическом "среднем компьютере" и подсчитать все ошибки "среднего набора софтин", приводящие к бсоду в неких условиях, то окажется, что наш случай - всего лишь один из десятков, а может, и сотен аналогичных мелких недоработок в других продуктах. Так что рвать волосы на коленках и прочих частях тела совершенно необязательно - подобные недоработки могут подождать новой версии продукта. В домашней версии уже исправлено в KAV/KIS 2009, в корпоративных продуктах всё уже поправлено в исходниках - но ведь за этим же следует полная процедура тестирования! Так что ради мелкого чиха мы её запускать не собираемся - подождёт, поскольку бага эта - совершенно никак не сказывается на защите компа. Ну а если же какие негодяи решат использовать эту "фичу" против наших клиентов - так мы просто реализацию задетектим и детект в апдейте выпустим - и всё.

 

И нечего из таракана слона раздувать.

 

2. Нет, эту тему слоно-тараканов таки надо в очередной раз затронуть отдельно. Опять, как это уже случалось и ранее, вдруг появляется некий анонимный персонаж, который начинает с повышенным пафосом рассуждать о недостатках наших продуктов. Подразумевая при этом, что у других всё хорошо. Увы и ах - это далеко не так. Баги есть У ВСЕХ.

 

Что интересно - подобные рассуждения начинаются с самого первого поста (ну со второго), оставленного этим троллем.. Ну поумнее чтоль бы были - завели бы пару десятков фантомных юзеров, по двадцать-трицдать пуков оставили бы в разных ветках - а потом бы уже вылезали в своём троллевом амплуа. ... ... Хотя ведь нет - мы же так и реальные айпишники засечь можем... Да, нелегка жизнь современного Интернет-тролля, ой нелегка... И неблагодарна. И, наверное, плохо и нерегулярно оплачивается.

 

3. И очень порадовала заключительная фраза "в нашей стране именно этому риску зачастую уделяется гораздо большее внимание". Все встают, дружные и продолжительные аплодисменты, переходящие в овации. "Страну" только надо заменить на "партию и правительство".