Meio Bit » Baú » Internet » Fundação Mozilla nega" patches de segurança em no máximo 10 dias"

Fundação Mozilla nega" patches de segurança em no máximo 10 dias"

09/08/2007 às 9:24

Mike Schaver é Diretor de Desenvolvimento de Ecossistemas para a Fundação Mozilla. Durante um bate-papo na Black Hat, uma das grandes conferências sobre segurança de informação, reunindo a nata das empresas e dos hackers, ele declarou que Toda e qualquer falha crítica de segurança do Firefox seria consertada em até 10 dias depois de descoberta.

Robert Hansen, especialista em segurança, retrucou: "Bullshit".

Mike não gostou, passou um cartão onde escreveu com todas as letras: "10 fucking days". Hansen disse que iria publicar o cartão, e Mike nem piscou.

meiobit-ten-fucking-days.png

Mike schaver foi apresentar a afirmação para outros especialistas de segurança. O consenso era que foi uma declaração divertida, mas muito difícil de bancar. Um especialista em segurança da Amazon disse que lançar um patch correndo assim poderia produzir correções de baixa qualidade.

Um dos comentaristas no blog de Schaver fez as contas. São 44 linguagens, 3 plataformas diferentes, isso dá um total de 132 "Firefoxes" para compilar, testar e homologar. Mesmo assumindo que a falha seja algo trivial de consertar (o que, normalmente não é o caso) só o período de homologação da correção já comeria um bom número de dias.

Por causa disso, a Chefe de Segurança da Fundação Mozilla, Window Snyder (eu juro pelo bem-estar da Luciana Vendramini que o nome do cara da mulher é esse) negou a alegação, e explicou uma história diferente.

Segundo ele o que Mike Schaver disse foi que "Já que a Fundação Mozilla apresentou recentemente uma correção de segurança em dez dias, não precisa ser pressionada com ameaças de divulgação de bugs para que produzam patches e atualizações de emergência". Eles, diz Window, não encaram segurança como um jogo, nem trabalham com desafios ou ultimatos. Estão orgulhosos de liberar correções às vezes em questão de dias, e continuarão a fazê-lo o mais rápido possível.

Não que eles precisem de muito pra ficar bem na fita. A concorrência conseguiu ficar vulnerável por 284 dias em 2006.

Via: Cybernet TechNews

relacionados


Comentários