苹果Mac OS设计师:Tribble 大谈安全问题

2015-01-29  来源：网络  字号：大 中 小  我要评论 收藏本文

　　苹果公司面对安全问题历来是守口如瓶，这在业内是众所周知的事情。 但是它最近却一反常态，两次公开谈起了安全问题。

　　在星期一的时候，苹果公司发布了一套Mac OS X操作系统的安全补丁包，这已经是它在近两周时间里发布的第二套安全补丁包了。

　　苹果公司象征性地在其网站上发布了一个简短的安全警报，苹果系统用户在上网检测更新的时候就会发现苹果公司已经发布了第二个关于安全的更新文件。如果用户选择默认模式安装Mac OS X操作系统，那么操作系统每周都会自动检测一次更新情况。 但是这次，苹果公司将Mac OS X操作系统的关键设计师之一Bud Tribble推到了消费者的面前，他在采访中谈到了Mac OS X操作系统的安全性问题以及苹果公司处理安全更新的过程步骤。

　　Tribble是苹果公司的元老级员工，他在苹果公司成立之初就进入了苹果公司，现在已经担任苹果公司软件技术分公司的副总裁，他主要负责管理原来的软件开发小组，同时协助设计Mac OS X操作系统。他曾经离开过苹果公司，但后来他又在2002年重返了苹果公司，他离开苹果公司的期间，曾经在许多风投公司工作过，包括NeXT Computer公司等。

　　苹果电脑迷历来喜欢夸耀Mac OS X操作系统的安全性，黑客们以前几乎都没有碰过它。但是在两周前发现了两种蠕虫和一个关于Mac OS X操作系统的漏洞以后，苹果公司在上周对Mac OS X操作系统又进行了认真细致的检查。 而且业内安全专家们对苹果公司发布的3月1日的补丁的实用性提出了质疑。

　　由于最近发生的一系列事件，许多人都提出Mac OS操作系统的安全神话是否已经结束了的疑问，但是苹果公司肯定不会这么想。Tribble指出，苹果公司在安全更新上总是抢先一步的。 虽然苹果公司已经开始在更为公开的场合谈论安全，但是那并不意味着它完全改变了做法，比如象微软公司、甲骨文公司和Adobe公司那样制定一个安全补丁计划表。Tribble最近接受了CNET新闻网的采访，谈到了苹果公司以及它在安全方面的举措。

　　问：苹果公司是否制定了某种形式的安全更新计划表？还是仅仅是在需要安全更新的时候才发布补丁？

　　Tribble：我们是按照需要来发布安全补丁的，我们没有制定固定的计划表，比如每月在某个固定的时间发布一次安全补丁。 我们实际上是想让用户确信一个观点，那就是一旦发现什么问题，我们将一次性将它解决掉。我们知道某些IT经理人希望我们提供那种固定计划表式的安全升级服务，但是我们认为我们的大多数用户都还是希望能将问题一次性解决。

　　问：对于你们修复的所有漏洞，你们并没有评定其危险等级。你能否谈谈你们认为其中的哪一个漏洞是最危险的漏洞？

　　Tribble：我们确实没有对漏洞进行危险等级评定。是的，我们没有说过诸如“这两个漏洞是高度危险级的，其他的那些不是高度危险级的”之类的话。 我们之所以不那么做是因为我们把所有的漏洞修复补丁都放在一个安全更新中发布，用户们也是将它们一起安装到系统中的。那也是我们将补丁放在一起的原因。

　　我们不想看到用户们到最后只修复那些高度危险级漏洞的现象，我们希望用户名可以将所有的漏洞都修复。

　　问：如果比较一下苹果公司与微软公司所发布的安全警报，就会发现苹果公司在安全警报方面做得很少。苹果公司是否有意这么做的？

　　Tribble：我并不认为我们在安全信息方面做得不够好。我们向用户们描述了补丁情况，我们还指出了修复的漏洞位于系统中的什么组件上。 我们有CVE ID号码，我们对那些向我们提供有用信息的用户表示感谢。我认为实际的内容非常相似。

　　问：你现在实际上是在面对媒体大众谈论苹果公司软件的安全性问题，这对于苹果公司来说是一个很大的变化。 苹果公司在安全更新信息交流方面是否会进行一些更大变化的举措呢？

　　Tribble：我们认为我们苹果公司必须在安全、技术、营销和回应市场变化等各方面都做到工作超前，对外交流安全信息只是其中的一部分而已。

　　问：你们在过去是绝口不提任何关于更新的信息。现在你们开始谈了，这是不是会引起苹果公司作出更大程度的改变？ 又或者说，我们将不会再看见别的什么变化了？

　　Tribble：你说我们以前从来没有谈论过安全问题，我想那样说可能是不对的。我认为谈论这些事情以及与外界交流都是我们公司安全策略中的一部分。

　　问：苹果公司以后是否也会制定安全警报一览表或者在其安全警报中增加更多的信息？ 苹果公司是否计划在这些方面做出一些变革？

　　Tribble：如果用户们向我们提出那些要求或者愿望，我们肯定会考虑的。用户们对于苹果公司一直还是比较满意的。 就象我刚才说的，不管是采取公告的方式还是象我现在这样与你交谈，我们都非常乐于与公司外界交流安全信息，因为我们认为我们在产品安全上做得不错。

　　问：在现在的安全更新中，苹果公司已经打开了下载确认功能。如果用户使用Safari、iChat和Mail之外的其他软件来下载文件的话，是否也能使用这个功能呢？

　　Tribble：我们在Safari、Mail和iChat软件中加入了下载确认功能，我们相信因使用这三款软件来下载而引起的大部分问题都可以得到很好的解决。

　　问：某些安全专家们建议你们苹果公司应该在操作系统中的一个较低的层次上采取一些保护措施，那样就可以识别出伪装成合法文件的恶意文件了。你们是否采纳了那个建议并展开了相关的工作呢？

　　Tribble：是的。我们对于外界的反馈信息总是是否重视的。 我们会听取各种好建议的。

　　问：苹果公司在最新的更新中解决的那些问题，是否有些问题实际上是由于用户的误操作引起的呢？

　　Tribble：这一点很重要。实际上还没有发生利用这些漏洞真正发起攻击的现象。 从某种意义上说，你可以认为这些漏洞修复都是为了避免发生某些可能的问题而做的。

　　从那一点看来，我认为更新中的所有东西都非常重要。我们发布的补丁增强了Mac OS X操作系统的安全性能。

　　问：去年的时候，你们苹果公司每月进行一次安全更新，有时甚至间隔更长的时间才升级一次。但是现在，你们在两个星期内就升级了两次。 这是否说明你们现在不得不处理操作系统中的更多的安全问题了呢？或者说这次在短时间内连续发布两个安全补丁包只是一次巧合？

　　Tribble：每当社区发现问题以后，我们都想尽快作出回应。 其中最主要的因素就是我们想及时处理掉所有被发现的问题。

　　问：那么也就是说不是了。你们苹果公司在发布了第一个补丁包之后不到两个星期的时间里又发布了第二个补丁包并不是说明Mac OS X操作系统中出现了更多需要修复的漏洞？

　　Tribble：我认为这只能说明我们工作得十分勤奋。我们并没有制定什么固定的计划，我们实际上只是想及时作出回应。

　　问：现在安全专家们还提出了另一个问题，就是说由于Mac OS 操作系统现在是运行在英特尔公司平台上，因此它的安全性降低了。你认为这种说法是否正确？

　　Tribble：我并不这么看。我认为各种安全问题都是针对操作系统软件的，指令系统实际上对它并没有很大的影响。 而且，我们已经开发出来的和正在开发的所有系统在PowerPC平台和英特尔平台上都运行得一样好。任何关于这个方面的担心都是多余的。

　　问：某些安全研究人员说与苹果公司打交道是一件痛苦的事情。苹果公司没有立即回复那个说法，他们认为苹果公司提供的安全漏洞信息太少了。 我想你是不会赞同那种说法的。

　　Tribble：现在的安全社区相当活跃，比如CERT、FIRST和BSD安全社区。 我们与他们保持着密切的联系。如果苹果公司外面的某个用户向我们报告了一些问题，促使我们及时解决了问题，我们会非常感激报告问题的人。 我不赞同你刚才说的观点。

　　问：那么你们是否有一个制定好的回应安全研究人员的步骤呢？

　　Tribble：是的，我们有。我们建了一个安全网页，还开设了一个专门的安全邮箱。

　　问：根据你与个别安全研究人员的交往经验，你认为苹果与他们之间的关系如何？ 这个关系对苹果公司来说，是否很重要呢？

　　Tribble：我认为我们之间的关系处理得不错。实际上有许多人都在研究各种安全问题。 我认为我们苹果公司对待他们都是一视同仁的，这样就有利于我们得到解决问题所需的信息。

　　问：在安全方面，你是否将苹果公司与其他软件厂商进行过比较？

　　Tribble：我们只是尽量做到最好，我们苹果公司上下各级都十分重视安全问题。 我们知道安全问题会影响到我们的用户的正常使用。