前知名駭客推評分系統，要幫軟體安全打分數

william77

曾以駭客身份聲名大噪的Peiter Zatko去年離開Google資安團隊後，致力於軟體安全風險評估，他與曾在美國國家安全局工作的數學家妻子合作，將在美國黑帽駭客年會上發表一套軟體安全評分服務Cyber Independent Testing Lab，對軟體安全進行評分，協助企業提高軟體安全。

Peiter Zatko以Mudge為名與妻子準備在美國黑帽駭客年會上發表軟體安全評分服務Cyber Independent Testing Lab。

美國一名20年前曾聲名大噪的駭客Peiter Zatko，在去年離開Google的先進技術與專案團隊後，投身軟體安全評估研發，將推出開放的評估服務，讓使用者能用簡單明瞭的方式，了解自己使用的軟體到底安不安全。
以代號Mudge聞名多年的Peiter Zatko離開Google後，自立門戶並取得美國國防部資助，進行資安專案研究，近日他與曾在美國國家安全局工作的數學家妻子合作，研發一套要以類似「消費者報導」形式為市場上銷售、散布的軟體安全性進行評分的服務，希望藉此提高軟體公司在開發產品時，對安全性的重視程度。
這項名為Cyber Independent Testing Lab的開放式服務，將在美國時間周三的黑帽駭客年會上首次對外揭露，同時兩人還將公布初步的評比結果。
路透社報導，以網路瀏覽器來說，在蘋果的Mac平台上，Google的Chrome要比蘋果自家的Safari來得更難被攻擊得逞，但Safari又比Firefox相對安全。絕大多數的微軟產品安全得分都不錯，但在Mac平台上的Office套件的安全表現卻十分糟糕。
Zatko在其參與多年的資安智庫L0pht便一直強調軟體領域的UL的重要性。UL是一家擁有百年歷史的機構，針對各種商業產品的安全性進行檢驗並協助制定標準，而L0pht則一直企圖推動CyberUL的概念，來針對軟體產品進行分析並公布其安全性。
其實針對軟體產品程式碼與行為進行的安全評估服務在資安產業已經存在多年，但由於耗費時間且相當昂貴，一直以來只有特定企業與政府的大型且對安全性較敏感的專案才會採行，此種評分服務有助於使用者提前進行評估。現行的法律架構下，倘若軟體因本身問題造成使用者損失，用戶多半很難求償，因為軟體公司是以授權方式讓用戶使用其軟體，而非將軟體以產品方式售出，使用者很難以產品瑕疵為由對軟體公司求償。
此種軟體安全評分服務可能將受到保險業者歡迎，做為評估保險客戶IT環境風險程度並據以制定保費價格的參考指標之一。