Interview, that is not boring
http://securityfocus.com/columnists/342
На удивление чтение этого интервью не было нудным :). Хочется обратить внимание на несколько мыслей (что-то добавлено от себя):
* Сегодняшние угрозы компьютерной безопасности это уже давно не "kid looking for fun", а деятельность преступных группировок.
* Безопасность стала частью PR, поэтому просто сравнивать количество обнаруженных в программных системах уязвимостей с учетом их рейтинга не имеет большого смысла. Более того, это вредно – тогда компании будут занижать присваиваемый уязвимостям рейтинг в стремлении выглядеть лучше. Как минимум нужны единые критерии.
* Еще не известно, что из двух крайностей лучше: не ставить вообще никаких систем безопасности или поставить все что можно. Особенно если учесть количество уязвимостей в самих системах безопасности. «I don't know, installing every vendor's local security agents on top of their operating systems? Now, I'll grant that if someone was insane enough to do this, their system would indeed collapse of its own weight.»

http://securityfocus.com/columnists/342
Surprisingly reading this interview was not boring :). I’d like to point out interesting moments (with some my additions):
* Modern threats to computer security are more a result of organized computer crime rather than "kid looking for fun".
* Security has become a part of PR. And there is no sense in comparing number and vendor-assigned severity of vulnerabilities found in software. Moreover, doing so will lead to side effect of vendors reducing severity rating for their vulnerabilities for better comparison results. At least we need standardized criteria for this.
* I cannot say what the best is: to have no security products installed on your system or to have all possible security systems. Here is the quote: «I don't know, installing every vendor's local security agents on top of their operating systems? Now, I'll grant that if someone was insane enough to do this, their system would indeed collapse of its own weight.»