在由安全廠商Sourcefire公司主辦的Adobe Hater大會上，安全研究人員聲稱發(fā)明Adobe公司的產品存在安全漏洞，從而將Adobe推上了風口浪尖。Adobe產品安全與隱私高級主管Brad Arkin決定主動出擊，向業(yè)界公開公司的安全管理流程。在黑帽大會2010上，Adobe發(fā)布將參加微軟主動保護打算（Microsoft Active Protections Program，MAPP），提前向安全廠商頒布漏洞材料，以使安全廠商能夠生成簽名，從而防備針對Adobe Reader、Acrobat和Adobe Flash中存在的漏洞的攻擊。在這次采訪中，Arkin還介紹了Adobe漏洞管理和安全策略的進展。以下為訪談內容：

對Adobe公司來說，接收微軟的軟件開產生命周期（Software Development Lifecycle，SDL）過程是不是一個比較新的事物呢？

Brad Arkin：不是。微軟的SDL已經實行了10年左右。Adobe的安全產品生命周期（Secure Product Lifecycle，SPLC）源自Macromedia于2004年1月開端實行的產品生命周期策略（Adobe于2005年4月收購了Macromedia）。因此，從某種意義上說，Adobe的SPLC早已起步。每當微軟發(fā)布新的軟件開產生命周期文檔和資源時，我們總是高度器重，深入研究；每當發(fā)明好的思想觀點時，我們都積極采用并將其融入我們的產品中。

你盼望漏洞發(fā)明者如何披露漏洞？Adobe的負義務的漏洞披露政策又如何呢？

Arkin：研究人員任何時候發(fā)明Adobe的產品中存在安全漏洞，都可以通過psirt@adobe.com與我們接洽，我們非常愿意傾聽研究人員的看法。我們會對郵件列表的內容進行梳理分類，對其中具有技巧價值的郵件，我們將會主動與向我們報告漏洞的研究人員接洽。如果能夠證實報告漏洞的研究人員得出的成果，我們將會和諧產品團隊修復漏洞。然后，產品團隊將創(chuàng)立補丁并進行測試，以確保所創(chuàng)立的補丁能夠修復漏洞。最終，我們將發(fā)布一個安全更新。我們已經與一些研究人員建立了密切關系并開展了多次合作。也有一些研究人員，雖然我們此前可能未與其建立合作關系，但我們知道他們是安全界的同仁。當研究人員花費其可貴的時間與我們分享漏洞信息時，我們必須確保向他們致以誠摯的感謝，并盡我們所能使其懂得我們的最新進展，這是我們一貫的目標。

Adobe為什么不向發(fā)明漏洞的研究人員頒發(fā)獎金？

Arkin：在支撐外部研究人員幫助我們進步軟件的安全性方面，我們已經投入了大批的資金。當研究人員提出一個能夠加強我們軟件安全性的想法時，我們的做法是尋求可能的咨詢服務，而不是向發(fā)明漏洞的研究人員頒發(fā)獎金。我們將容許發(fā)明漏洞的研究人員與直接從事產品開發(fā)的工程師交換，并獲得相干產品的所有內部文檔，以幫助其進行完整的白盒測試，這種嘉獎對外部研究人員來說更加難能可貴。與此同時，研究人員的經驗和技巧所帶來的成效也更加明顯。然而，安全業(yè)界的發(fā)展一日千里，因此我們也將考慮其他方法（如向發(fā)明漏洞的研究人員頒發(fā)獎金）是否合適我們公司。

既然Adobe已經發(fā)布了Reader和Acrobat的季度更新，為什么又供給了一些帶外更新？是不是因為Reader和Acrobat最近成為了攻擊者的目標？

Arkin：季度更新重要是針對解決需求不是非常急切的問題。我們必須衡量盡可能快地向客戶供給保護與安排補丁的代價之間的利弊。無論我們如何努力工作以簡化補丁安排過程，但只要乘以數以億計的盤算機，這一代價都十分宏大。雖然我們可以發(fā)布一大批補丁，以幫助用戶防備最新發(fā)明的攻擊，但與此同時，在大批的盤算機上安排最新的補丁需要花費宏大的代價，這確實是一個兩難的問題。

什么是沙盒技巧，為什么要采用沙盒技巧？

Arkin：以Reader為例，加強Reader安全性以防備我們當前遇到的這種新型要挾的各種思想千差萬別，而數以億計的用戶以特定的方法應用Reader，我們必須根據這一事實對這些思想進行折中。用戶不想被迫轉變自己的應用方法。那么，我們如何加強這些用戶應用的Reader的安全性，而又不轉變用戶與產品的交互方法呢？沙盒（Sandboxing）正是一種可以解決這一問題的技巧，這項工作2009年夏季已經啟動。目前，我們已經投入了大批資金來實行沙盒技巧，并籌備在Adobe Reader的下一個重要版本中采用沙盒技巧。第一個版本的沙盒將是只寫的。沙盒將在一個低權限的過程中運行Reader。如果攻擊者發(fā)明Reader存在漏洞，現在他或她可以利用該漏洞把持盤算機，但未來攻擊者的行動將會被限制在沙盒中。