தரமான vs அளவு: மாற்ற வேண்டிய நேரம் மூன்றாம் தரப்பு பாதிப்புகளின் தீவிரத்தை எவ்வாறு மதிப்பிடுகிறோம்?

நூலாசிரியர்: Roger Morrison
உருவாக்கிய தேதி: 26 செப்டம்பர் 2021
புதுப்பிப்பு தேதி: 21 ஜூன் 2024
Anonim
தரமான vs அளவு: மாற்ற வேண்டிய நேரம் மூன்றாம் தரப்பு பாதிப்புகளின் தீவிரத்தை எவ்வாறு மதிப்பிடுகிறோம்? - தொழில்நுட்பம்
தரமான vs அளவு: மாற்ற வேண்டிய நேரம் மூன்றாம் தரப்பு பாதிப்புகளின் தீவிரத்தை எவ்வாறு மதிப்பிடுகிறோம்? - தொழில்நுட்பம்

உள்ளடக்கம்


ஆதாரம்: பிரையன்ஏஜாக்சன் / ஐஸ்டாக்ஃபோட்டோ

எடுத்து செல்:

திறந்த மூலக் கூறுகளுக்கான ஆபத்தை மதிப்பிடுவதைப் பற்றி நாங்கள் எப்படி நினைக்கிறோம் என்பதைக் கொண்டு விஷயங்களை அசைக்க வேண்டிய நேரம் இது.

மென்பொருள் மேம்பாட்டு சமூகம் பாதிப்புகளை எவ்வளவு தீவிரமாக எடுத்துக் கொள்ள வேண்டும் என்பதை மதிப்பிடுவதற்கான ஒரு அமைப்பை உருவாக்குவது ஒரு சவாலாகும். குறியீடு மனிதர்களால் எழுதப்பட்டது, எப்போதும் குறைபாடுகள் இருக்கும். கேள்வி என்னவென்றால், எதுவுமே ஒருபோதும் முழுமையடையாது என்று நாம் கருதினால், கூறுகளை அவற்றின் அபாயத்திற்கு ஏற்ப எவ்வாறு சிறந்த முறையில் வகைப்படுத்துவது என்பது தொடர்ந்து உற்பத்தி ரீதியாக செயல்பட அனுமதிக்கிறது.

வெறும் உண்மைகள்

இந்த சிக்கலைக் கையாள்வதில் ஒருவர் எடுக்கக்கூடிய பல அணுகுமுறைகள் உள்ளன, ஒவ்வொன்றும் அவற்றின் சரியான நியாயப்படுத்தலுடன், மிகவும் பொதுவான முறை ஒரு அளவு மாதிரியை அடிப்படையாகக் கொண்டதாகத் தோன்றுகிறது.

ஒருபுறம், ஒரு பாதிப்பின் தீவிரத்தை தீர்மானிப்பதற்கான அளவு அணுகுமுறையைப் பயன்படுத்துவது பயனுள்ளதாக இருக்கும், இது மிகவும் புறநிலை மற்றும் அளவிடக்கூடியது, இது பாதிப்பு தொடர்பான காரணிகளை மட்டுமே அடிப்படையாகக் கொண்டது.


மென்பொருள் துறையெங்கும் கூறு, நூலகம் அல்லது திட்டம் எவ்வளவு பரவலாகப் பயன்படுத்தப்படுகின்றன என்பதையும், தாக்குதல் நடத்துபவருக்கு எந்த வகையான அணுகலைக் கொடுக்கலாம் போன்ற காரணிகளையும் கருத்தில் கொண்டு, பாதிப்பு பயன்படுத்தப்படும்போது எந்த வகையான சேதம் ஏற்படக்கூடும் என்பதை இந்த முறை பார்க்கிறது. தங்கள் இலக்கை மீறுவதற்கு அவர்கள் அதைப் பயன்படுத்த வேண்டும். சுலபமான சுரண்டல் போன்ற காரணிகள் மதிப்பெண்ணைப் பாதிப்பதில் இங்கே ஒரு பெரிய பங்கைக் கொண்டிருக்கலாம். (பாதுகாப்பு குறித்த மேலும் தகவலுக்கு, சைபர் செக்யூரிட்டியைப் பாருங்கள்: புதிய முன்னேற்றங்கள் புதிய அச்சுறுத்தல்களை எவ்வாறு கொண்டு வருகின்றன - மற்றும் துணை வெர்சா.)

நாம் ஒரு மேக்ரோ மட்டத்தில் பார்க்க விரும்பினால், ஒரு பாதிப்பு மந்தையை எவ்வாறு காயப்படுத்துகிறது என்பதைப் பார்க்கிறது, உண்மையில் தாக்குதலால் பாதிக்கப்படும் நிறுவனங்களின் மீது ஏற்படக்கூடிய சேதத்தில் குறைவாக கவனம் செலுத்துகிறது.

தேசிய பாதிப்பு தரவுத்தளம் (என்விடி), ஒருவேளை பாதிப்புகளின் மிகவும் அறியப்பட்ட தரவுத்தளம், இந்த அணுகுமுறையை 2 மற்றும் 3 பதிப்புகளுக்கு அவற்றின் பொதுவான பாதிப்பு மதிப்பீட்டு முறைமை (சி.வி.எஸ்.எஸ்) எடுத்துக்கொள்கிறது. பாதிப்புகளை மதிப்பிடுவதற்கான அளவீடுகளை விளக்கும் பக்கத்தில், அவர்கள் தங்கள் முறையை எழுதுகிறார்கள்:


அதன் அளவு மாதிரியானது மீண்டும் மீண்டும் செய்யக்கூடிய துல்லியமான அளவீட்டை உறுதிசெய்கிறது, அதே நேரத்தில் பயனர்களை மதிப்பெண்களை உருவாக்கப் பயன்படும் அடிப்படை பாதிப்பு பண்புகளைக் காண உதவுகிறது. எனவே, துல்லியமான மற்றும் நிலையான பாதிப்பு தாக்க மதிப்பெண்கள் தேவைப்படும் தொழில்கள், நிறுவனங்கள் மற்றும் அரசாங்கங்களுக்கான நிலையான அளவீட்டு முறையாக சி.வி.எஸ்.எஸ் மிகவும் பொருத்தமானது.

விளையாட்டில் உள்ள அளவு காரணிகளின் அடிப்படையில், என்விடி பின்னர் ஒரு தீவிர மதிப்பெண்ணைக் கொண்டு வர முடியும், இரண்டுமே அவற்றின் அளவில் ஒரு எண்ணைக் கொண்டு - 1 முதல் 10 வரை, 10 மிகக் கடுமையானவை - அத்துடன் குறைந்த, மீடியம் மற்றும் உயர் வகைகள் .

பிழைகள் இல்லை, மன அழுத்தமும் இல்லை - உங்கள் வாழ்க்கையை அழிக்காமல் வாழ்க்கையை மாற்றும் மென்பொருளை உருவாக்குவதற்கான படி வழிகாட்டியின் படி

மென்பொருள் தரத்தைப் பற்றி யாரும் அக்கறை கொள்ளாதபோது உங்கள் நிரலாக்க திறன்களை மேம்படுத்த முடியாது.

தாக்கத்திற்கான கணக்கியல்?

எவ்வாறாயினும், ஒரு குறிப்பிட்ட சுரண்டல் சேதத்தை ஏற்படுத்துவதில் எவ்வளவு தாக்கத்தை ஏற்படுத்தியுள்ளது என்பதை அடிப்படையாகக் கொண்டு, பாதிப்புக்குள்ளான ஒரு தரமான நடவடிக்கையாக நாம் எதைக் குறிக்க முடியும் என்பதில் தெளிவாக இருக்க என்விடி முயற்சிப்பதாகத் தெரிகிறது. சரியாகச் சொல்வதானால், அவை கணினியில் உள்ள பாதிப்புகளின் தாக்கத்தை அளவிடுவதால், அவை இரகசியத்தன்மை, ஒருமைப்பாடு மற்றும் கிடைக்கும் காரணிகளைப் பார்க்கின்றன. இவை அனைத்தும் கவனிக்க வேண்டிய முக்கியமான கூறுகள் - மிக எளிதாக அளவிடக்கூடிய அணுகல் திசையன், அணுகல் சிக்கலானது மற்றும் அங்கீகாரம் போன்றவை - ஆனால் ஒரு பாதிப்பு ஒரு நிறுவனத்திற்கு உண்மையான இழப்புகளை ஏற்படுத்தும்போது நிஜ உலக தாக்கத்தை தொடர்புபடுத்தும் பணியை அவர்கள் உணரவில்லை.

எடுத்துக்காட்டாக, சுமார் 145 மில்லியன் மக்களின் தனிப்பட்ட முறையில் அடையாளம் காணக்கூடிய தகவல்களை அம்பலப்படுத்திய ஈக்விஃபாக்ஸ் மீறலை எடுத்துக் கொள்ளுங்கள், அவற்றின் ஓட்டுநர் உரிம விவரங்கள், சமூக பாதுகாப்பு எண்கள் மற்றும் பிற பிட்கள் உட்பட, நேர்மையற்ற கதாபாத்திரங்கள் பாரிய மோசடி நடவடிக்கைகளை மேற்கொள்ள பயன்படுத்தலாம்.

அப்பாச்சி ஸ்ட்ரட்ஸ் 2 திட்டத்தில் கண்டுபிடிக்கப்பட்ட பாதிப்பு (சி.வி.இ-2017-5638) தான் ஈக்விஃபாக்ஸ் தங்கள் வலை பயன்பாட்டில் பயன்படுத்தியது, இது தாக்குதல் நடத்தியவர்களை முன் வாசலில் நடக்க அனுமதித்தது, இறுதியில் தாகமாக தனிப்பட்ட தகவல்களால் தங்கள் கைகளால் அதை உருவாக்கியது .

என்.வி.டி அதற்கு 10 மற்றும் உயர் மதிப்பெண்களை சரியாக அளித்தாலும், அவர்களின் முடிவானது அதன் சாத்தியமான சேதத்தை அளவிடுவதன் காரணமாக இருந்தது மற்றும் ஈக்விஃபாக்ஸ் மீறல் பகிரங்கமானபோது பின்னர் ஏற்பட்ட விரிவான சேதத்தால் பாதிக்கப்படவில்லை.

இது என்விடியின் மேற்பார்வை அல்ல, ஆனால் அவர்கள் கூறிய கொள்கையின் ஒரு பகுதி.

ஒவ்வொரு பாதிப்பின் உள்ளார்ந்த பண்புகளையும் குறிக்கும் சி.வி.எஸ்.எஸ் "அடிப்படை மதிப்பெண்களை" என்விடி வழங்குகிறது. நாங்கள் தற்போது "தற்காலிக மதிப்பெண்கள்" (பாதிப்புக்கு புறம்பான நிகழ்வுகள் காரணமாக காலப்போக்கில் மாறுபடும் அளவீடுகள்) அல்லது "சுற்றுச்சூழல் மதிப்பெண்கள்" (உங்கள் நிறுவனத்தில் பாதிப்பின் தாக்கத்தை பிரதிபலிக்கும் வகையில் அமைக்கப்பட்ட மதிப்பெண்கள்) வழங்கவில்லை.

முடிவெடுப்பவர்களுக்கு, அளவு அளவீட்டு முறை குறைவாகவே இருக்க வேண்டும், ஏனெனில் இது தொழில் முழுவதும் தீங்கு விளைவிக்கும் வாய்ப்புகளைப் பார்க்கிறது. நீங்கள் ஒரு வங்கியின் சி.எஸ்.ஓ என்றால், உங்கள் வாடிக்கையாளரின் தரவை ஈடுசெய்ய பயன்படுத்தினால் அல்லது அவர்களின் பணத்தை மோசமாகப் பயன்படுத்தினால் ஒரு சுரண்டல் ஏற்படுத்தக்கூடிய தரமான தாக்கத்தைப் பற்றி நீங்கள் கவலைப்பட வேண்டும். (தொழில்நுட்பத்தில் உள்ள 5 பயங்கரமான அச்சுறுத்தல்களில் பல்வேறு வகையான பாதிப்புகளைப் பற்றி அறிக.)

கணினியை மாற்ற வேண்டிய நேரம்?

ஆகவே, ஈக்விஃபாக்ஸ் வழக்கில் பயன்படுத்தப்பட்ட அப்பாச்சி ஸ்ட்ரஸ்ட்ஸ் 2 இன் பாதிப்பு, சேதம் எவ்வளவு விரிவானது என்பதன் வெளிச்சத்தில் உயர் தரவரிசையைப் பெற வேண்டுமா, அல்லது என்விடி போன்ற ஒரு அமைப்புக்கு இந்த மாற்றம் மிகவும் அகநிலை என்று மாறிவிடும் தொடரவா?

என்விடி விவரித்தபடி "சுற்றுச்சூழல் மதிப்பெண்" அல்லது "தற்காலிக மதிப்பெண்" கொண்டு வருவதற்கு தேவையான தரவுகளைக் கொண்டு வருவது மிகவும் கடினம் என்று நாங்கள் வழங்குகிறோம், இலவச சி.வி.எஸ்.எஸ் குழுவின் மேலாளர்களை முடிவில்லாத விமர்சனம் மற்றும் ஒரு டன் வேலை வரை திறக்கும் புதிய தகவல்கள் வெளிவருகையில் என்விடி மற்றும் பிறர் தங்கள் தரவுத்தளங்களை புதுப்பிக்க.

நிச்சயமாக, அத்தகைய மதிப்பெண் எவ்வாறு தொகுக்கப்படும் என்ற கேள்வி உள்ளது, ஏனெனில் மிகக்குறைந்த நிறுவனங்கள் ஒரு மீறலின் தாக்கம் குறித்து தேவையான தரவுகளை வெளிப்படுத்தும் சட்டத்தால் தேவைப்படாவிட்டால் அவை வழங்கப்படும். ஒரு மீறலைச் சுற்றியுள்ள தகவல்களை ஒரு பொது பின்னடைவை எதிர்கொள்ளாமல் பத்திரிகைகளை அடைவதைத் தடுக்கும் நம்பிக்கையில் நிறுவனங்கள் விரைவாக பணம் செலுத்த தயாராக இருப்பதை உபெரின் வழக்கில் இருந்து பார்த்தோம்.

பாதிப்பு தரவுத்தளங்களிலிருந்து நல்ல முயற்சிகளை இணைத்து, தகவல் கிடைக்கும்போது அவற்றின் கூடுதல் மதிப்பெண்ணைச் சேர்க்கக்கூடிய புதிய அமைப்பு தேவைப்படுவது அவசியம்.

முந்தைய ஆண்டுகளில் இந்த ஆண்டு போதுமான அளவு தனது வேலையைச் செய்ததாகத் தோன்றும்போது, ​​இந்த கூடுதல் மதிப்பெண்ணைத் தூண்டுவது ஏன்?

வெளிப்படையாக, நிறுவனங்கள் தங்கள் பயன்பாடுகளுக்கு பொறுப்பேற்க வேண்டியது பொறுப்புக்கூறலுக்கு வருகிறது. ஒரு சிறந்த உலகில், ஒவ்வொருவரும் தங்கள் தயாரிப்புகளில் பயன்படுத்தும் கூறுகளின் மதிப்பெண்களை தங்கள் சரக்குகளில் சேர்ப்பதற்கு முன் சரிபார்த்துக் கொள்வார்கள், முன்னர் பாதுகாப்பாக இருப்பதாக நினைத்த திட்டங்களில் புதிய பாதிப்புகள் கண்டறியப்படும்போது விழிப்பூட்டல்களைப் பெறுவார்கள், மேலும் தேவையான இணைப்புகளை அவற்றின் சொந்தமாக செயல்படுத்தலாம் .

இந்த பாதிப்புகளில் சில ஒரு நிறுவனத்திற்கு எவ்வளவு பேரழிவை ஏற்படுத்தும் என்பதைக் காட்டும் ஒரு பட்டியல் இருந்தால், ஆபத்தான கூறுகளுடன் சிக்கிக் கொள்ளாதபடி நிறுவனங்கள் அதிக அழுத்தத்தை உணரக்கூடும். குறைந்த பட்சம், அவர்கள் ஏற்கனவே வைத்திருக்கும் திறந்த மூல நூலகங்களின் உண்மையான சரக்குகளை எடுக்க நடவடிக்கை எடுக்கலாம்.

ஈக்விஃபாக்ஸ் படுதோல்விக்குப் பின்னர், ஒன்றுக்கு மேற்பட்ட சி-லெவல் எக்ஸிகியூட்டிவ்ஸ் தங்கள் தயாரிப்புகளில் ஸ்ட்ரட்ஸின் பாதிக்கப்படக்கூடிய பதிப்பு அவர்களிடம் இல்லை என்பதை உறுதிப்படுத்திக்கொள்ளலாம். இந்தத் துறையின் திறந்த மூல பாதுகாப்பை தீவிரமாக எடுத்துக் கொள்ள இந்த அளவிலான ஒரு சம்பவத்தை எடுத்தது துரதிர்ஷ்டவசமானது.

உங்கள் பயன்பாடுகளின் திறந்த-மூலக் கூறுகளில் உள்ள பாதிப்புகள் மிகவும் நிஜ உலக விளைவுகளை ஏற்படுத்தக்கூடும் என்ற பாடம், முடிவெடுப்பவர்கள் எவ்வாறு பாதுகாப்பிற்கு முன்னுரிமை அளிக்கிறார்கள், தங்கள் தயாரிப்புகள் மற்றும் வாடிக்கையாளர்களின் தரவைப் பாதுகாப்பாக வைத்திருக்க சரியான கருவிகளைத் தேர்ந்தெடுப்பதில் தாக்கத்தை ஏற்படுத்தும்.