在由安全廠商Sourcefire公司主辦的Adobe Hater大會(huì)上，安全研究人員聲稱發(fā)明Adobe公司的產(chǎn)品存在安全漏洞，從而將Adobe推上了風(fēng)口浪尖。Adobe產(chǎn)品安全與隱私高級(jí)主管Brad Arkin決定主動(dòng)出擊，向業(yè)界公開(kāi)公司的安全管理流程。在黑帽大會(huì)2010上，Adobe發(fā)布將參加微軟主動(dòng)保護(hù)打算（Microsoft Active Protections Program，MAPP），提前向安全廠商頒布漏洞材料，以使安全廠商能夠生成簽名，從而防備針對(duì)Adobe Reader、Acrobat和Adobe Flash中存在的漏洞的攻擊。在這次采訪中，Arkin還介紹了Adobe漏洞管理和安全策略的進(jìn)展。以下為訪談內(nèi)容：

對(duì)Adobe公司來(lái)說(shuō)，接收微軟的軟件開(kāi)產(chǎn)生命周期（Software Development Lifecycle，SDL）過(guò)程是不是一個(gè)比較新的事物呢？

Brad Arkin：不是。微軟的SDL已經(jīng)實(shí)行了10年左右。Adobe的安全產(chǎn)品生命周期（Secure Product Lifecycle，SPLC）源自Macromedia于2004年1月開(kāi)端實(shí)行的產(chǎn)品生命周期策略（Adobe于2005年4月收購(gòu)了Macromedia）。因此，從某種意義上說(shuō)，Adobe的SPLC早已起步。每當(dāng)微軟發(fā)布新的軟件開(kāi)產(chǎn)生命周期文檔和資源時(shí)，我們總是高度器重，深入研究；每當(dāng)發(fā)明好的思想觀點(diǎn)時(shí)，我們都積極采用并將其融入我們的產(chǎn)品中。

你盼望漏洞發(fā)明者如何披露漏洞？Adobe的負(fù)義務(wù)的漏洞披露政策又如何呢？

Arkin：研究人員任何時(shí)候發(fā)明Adobe的產(chǎn)品中存在安全漏洞，都可以通過(guò)psirt@adobe.com與我們接洽，我們非常愿意傾聽(tīng)研究人員的看法。我們會(huì)對(duì)郵件列表的內(nèi)容進(jìn)行梳理分類，對(duì)其中具有技巧價(jià)值的郵件，我們將會(huì)主動(dòng)與向我們報(bào)告漏洞的研究人員接洽。如果能夠證實(shí)報(bào)告漏洞的研究人員得出的成果，我們將會(huì)和諧產(chǎn)品團(tuán)隊(duì)修復(fù)漏洞。然后，產(chǎn)品團(tuán)隊(duì)將創(chuàng)立補(bǔ)丁并進(jìn)行測(cè)試，以確保所創(chuàng)立的補(bǔ)丁能夠修復(fù)漏洞。最終，我們將發(fā)布一個(gè)安全更新。我們已經(jīng)與一些研究人員建立了密切關(guān)系并開(kāi)展了多次合作。也有一些研究人員，雖然我們此前可能未與其建立合作關(guān)系，但我們知道他們是安全界的同仁。當(dāng)研究人員花費(fèi)其可貴的時(shí)間與我們分享漏洞信息時(shí)，我們必須確保向他們致以誠(chéng)摯的感謝，并盡我們所能使其懂得我們的最新進(jìn)展，這是我們一貫的目標(biāo)。

Adobe為什么不向發(fā)明漏洞的研究人員頒發(fā)獎(jiǎng)金？

Arkin：在支撐外部研究人員幫助我們進(jìn)步軟件的安全性方面，我們已經(jīng)投入了大批的資金。當(dāng)研究人員提出一個(gè)能夠加強(qiáng)我們軟件安全性的想法時(shí)，我們的做法是尋求可能的咨詢服務(wù)，而不是向發(fā)明漏洞的研究人員頒發(fā)獎(jiǎng)金。我們將容許發(fā)明漏洞的研究人員與直接從事產(chǎn)品開(kāi)發(fā)的工程師交換，并獲得相干產(chǎn)品的所有內(nèi)部文檔，以幫助其進(jìn)行完整的白盒測(cè)試，這種嘉獎(jiǎng)對(duì)外部研究人員來(lái)說(shuō)更加難能可貴。與此同時(shí)，研究人員的經(jīng)驗(yàn)和技巧所帶來(lái)的成效也更加明顯。然而，安全業(yè)界的發(fā)展一日千里，因此我們也將考慮其他方法（如向發(fā)明漏洞的研究人員頒發(fā)獎(jiǎng)金）是否合適我們公司。

既然Adobe已經(jīng)發(fā)布了Reader和Acrobat的季度更新，為什么又供給了一些帶外更新？是不是因?yàn)镽eader和Acrobat最近成為了攻擊者的目標(biāo)？

Arkin：季度更新重要是針對(duì)解決需求不是非常急切的問(wèn)題。我們必須衡量盡可能快地向客戶供給保護(hù)與安排補(bǔ)丁的代價(jià)之間的利弊。無(wú)論我們?nèi)绾闻�力工作以�?jiǎn)化補(bǔ)丁安排過(guò)程，但只要乘以數(shù)以億計(jì)的盤算機(jī)，這一代價(jià)都十分宏大。雖然我們可以發(fā)布一大批補(bǔ)丁，以幫助用戶防備最新發(fā)明的攻擊，但與此同時(shí)，在大批的盤算機(jī)上安排最新的補(bǔ)丁需要花費(fèi)宏大的代價(jià)，這確實(shí)是一個(gè)兩難的問(wèn)題。

什么是沙盒技巧，為什么要采用沙盒技巧？

Arkin：以Reader為例，加強(qiáng)Reader安全性以防備我們當(dāng)前遇到的這種新型要挾的各種思想千差萬(wàn)別，而數(shù)以億計(jì)的用戶以特定的方法應(yīng)用Reader，我們必須根據(jù)這一事實(shí)對(duì)這些思想進(jìn)行折中。用戶不想被迫轉(zhuǎn)變自己的應(yīng)用方法。那么，我們?nèi)绾渭訌?qiáng)這些用戶應(yīng)用的Reader的安全性，而又不轉(zhuǎn)變用戶與產(chǎn)品的交互方法呢？沙盒（Sandboxing）正是一種可以解決這一問(wèn)題的技巧，這項(xiàng)工作2009年夏季已經(jīng)啟動(dòng)。目前，我們已經(jīng)投入了大批資金來(lái)實(shí)行沙盒技巧，并籌備在Adobe Reader的下一個(gè)重要版本中采用沙盒技巧。第一個(gè)版本的沙盒將是只寫的。沙盒將在一個(gè)低權(quán)限的過(guò)程中運(yùn)行Reader。如果攻擊者發(fā)明Reader存在漏洞，現(xiàn)在他或她可以利用該漏洞把持盤算機(jī)，但未來(lái)攻擊者的行動(dòng)將會(huì)被限制在沙盒中。