19,5 тыс подписчиков

Уязвимости есть? А если найду?

Есть распространённое заблуждение: количество обнаруженных уязвимостей говорит о качестве программного продукта. Если где-то постоянно обнаруживают дырки, то это плохая программа. А хорошая — это та, где багов отродясь не находили.

На самом деле, количество найденных уязвимостей в общем случае говорит только о популярности программы, а вовсе не о том, насколько хорошо она сделана. *Баги есть во всем*. Просто обычно их находят там, где больше ищут. Конечно, можно использовать какой-то всеми забытый программный продукт, потому что в нем ещё не обнаруживали уязвимости. Но это плохая политика: а ну как копнут и найдут сразу пачку?

Надо обращать внимание не на количество багов, найденных в том или ином софте, а на время реакции разработчика и, что тоже немаловажно, качество этой реакции. Если заплатки выпускают быстро и регулярно — это хорошо. Если медленно, спорадически и каждый раз изо всех сил пытаются делать вид, что ничего страшного не случилось, — это плохо, вот такого софта стоит избегать.

Ну, ОК.

Но возникает вопрос: какие обновления должны быть в приоритете? Вообще говоря, однозначного ответа на него нет. Стратегии установки патчей могут быть очень разными, и какая из них сработает лучше в вашем случае — зависит от разных обстоятельств.

В новом посте на нашем блоге рассказываем о том, что стоит обновлять в первую очередь, исходя из потенциальной опасности эксплуатации уязвимостей.

Уязвимости есть? А если найду? Есть распространённое заблуждение: количество обнаруженных уязвимостей говорит о качестве программного продукта.

1 минута

28 августа 2023

135 читали