从Microsoft到Mozilla

在为微软公司效力期间，Snyder帮助该公司实现了Windows产品安全保证程序的正式化。她还创建了名为Blue Hat的活动，邀请网络黑客到微软，让他们把微软产品的技术漏洞暴露在产品设计人员的面前。在最近接受CNET News.com的专访时，Snyder表示，到Mozilla担任新职务之后，她计划与外部世界共同分享Mozilla产品的安全秘密，加强Mozilla同安全问题研究团体的联系，放弃Mozilla产品存在潜在安全隐患的旧代码。

Snyder自称怪才，她的父母都是程序设计人员。在Snyder还只有十几岁的时候，她的妈妈就开始教她在Texas Instruments 99计算机上编写Basic语言程序了。长大后，她走上了自己的职业生涯，曾先后从事多项安全咨询工作，例如在已经被Symantec收购的@Stake担任安全咨询顾问。

最近，Snyder接受了CNET News.com的专访，在她位于加利福尼亚州Mountain View的办公室里就如何在一个一切都不安全的世界里尽可能的加强软件的安全性能表达了自己的看法。

CNET：您是如何对安全问题产生兴趣的？
Snyder：我学过数学和计算机科学，因此走进了密码的世界。从那以后，我就开始对如何创建安全的应用程序产生了兴趣，同时也希望了解如何才能避开安全系统。在成为软件工程师之后，我正式开始了创建安全应用程序的工作。“如果（程序代码）不能给消费者带来任何的好处，那它大概只会给消费者带来风险。如果（程序代码）实际上对消费者并没有用，它就应该被抛弃。”

CNET：您是从什么时候开始涉足职业安全领域的？
Snyder：在我职业生涯的最初阶段，我从事的是程序开发工作，在这一过程当中，安全问题是一个非常重要的问题。在上个世纪90年代，我也参加了很多安全研究团体。

在上个世纪90年代末，安全领域开始了真正的变化：Internet Security Systems及其他一些同类公司开始兴起。安全技术终于在商业化的进程中有了自己的一席之地。我也开始转行，从软件开发转到从事安全咨询。2000年，我加入了@Stake。在它之前还没有任何一家公司是单纯从事安全咨询工作的。

CNET：在产品的安全问题上，您所信奉的最重要的准则是什么？
Snyder：“一切都是不安全的”。不管是开发软件还是安全测试产品，这一点都非常重要，必须时刻牢记。要不断思索，寻找保护系统的途径，因为总是有人在试图进入你的系统，总是有人想要利用系统的技术弱点来做损害消费者利益的事情。

CNET：您曾经在微软公司工作过三年的时间。在那里您主要从事的是什么工作呢？
Snyder：最初，我负责的是Secure Windows Initiative项目，开发安全方案，与不同的产品小组合作，帮助它们加强微软产品的安全性能。我在微软设置了专门对操作系统的安全性能负责的工作职位，由专人任职。在此之前，微软公司里有人专门负责产品性能表现问题，也有人专门负责与合作伙伴的合作事宜；几乎所有的问题都有专人负责，就是产品安全问题没人管。

在微软公司推出了Windows XP Service Pack 2之后，我又成为了公司新的安全问题小组的创始成员之一。我将自己以前从事的很多非正式的工作正式化，加强同安全问题研究团体的联系，了解新信息，并把这些信息提供给产品开发小组。我所从事的工作之一，就是创建了Blue Hat活动，把能够在Black Hat或CanSecWest见到的黑客请到微软，让他们把微软产品的安全漏洞暴露在产品设计人员面前。

CNET：现在您已经到Mozilla工作了。您在这里是否遇到了挑战？还是能够工作得很悠闲？
Snyder：Mozilla为我提供了一个机遇。公司的情况确实非常独特：在Mozilla，我们可以从开发部门和工程部门那里同时吸取经验教训，并且把我们的收获同外部世界分享。这样一来，其他人也能吸取我们在产品开发过程中总结的经验教训。

CNET：您能具体说一下吗？
Snyder：在Mozilla，我们完成了很多重要的工作。我认为，Mozilla为我们提供了一个非常好的机遇，我们能够继续进行各项重要工作，并且能够与外界分享我们整个工作流程的信息。事实上，对我来说，最让人感到兴奋的一点是：开放资源项目的本质决定了其他人能够分享我们的信息，吸取我们在工作中获得的经验教训。

在商业环境当中，我们遇到的通常都是某个公司独家拥有权利的软件，这些软件是封闭的资源。外界可以看到成品的软件，却无法了解软件的开发过程。但在Mozilla情况就不同了。就拿Firefox来说，大家不仅可以看到成品的软件，还能够了解它的整个开发过程。

CNET：您如何评价Mozilla产品的安全性能呢？
Snyder：在这方面，我们做了很多非常出色的工作。

CNET：但是，您说过“一切都是不安全的”？
Snyder：是的，一切都是不安全的，所以绝对存在进一步改进Mozilla产品安全性能的机遇。

CNET：您觉得，Firefox的安全性能是否要优于微软的Internet Explorer呢？
Snyder：这要看大家用来判断产品安全性能的标准是什么了。我认为，判断产品安全性能的最重要的指标之一就是看产品暴露在风险当中的时间有多长：销售商多长时间为消费者提供一次产品补丁？二是一旦销售商为消费者提供了产品补丁，消费者需要多长时间完成安装？我认为，Mozilla已经将产品弱点暴露的时间同为消费者提供产品补丁的时间之间的差距缩小到了令人难以置信的地步，并且还在不断缩小这个时间差距。

CNET：那么，如果让您用一句话来概括这个问题的答案的话，您觉得，Firefox的安全性能是否要优于微软的Internet Explorer呢？
Snyder：我觉得这个问题的答案不能用一句话来进行概括。

CNET：您无法用“是”或“不是”来回答这个问题是吗？
Snyder：要回答这个问题，我们必须要考虑产品暴露在风险当中的时间有多长，必须要考虑从产品问题暴露到销售商推出产品补丁之间的整个过程，必须要看这个过程是否及时、是否明晰。

CNET：Mozilla公司或者说Mozilla产品现在是否在面临着某些安全挑战呢？
Snyder：我们现在面临着巨大的历史机遇，不论是从我们产品的开放资源性质考虑，还是从产品变化的角度考虑，我们都能够加强产品的整体安全性能。例如，我们可以通过废除已经没用或是很少用到的代码来减少可能受到攻击的区域的面积。有些文件分析引擎可能只适用于现在并不常用的文件格式，它们就没有太多继续存在的意义了。如果（程序代码）不能给消费者带来任何的好处，那它大概只会给消费者带来风险。如果（程序代码）实际上对消费者并没有用，它就应该被抛弃。

CNET：在微软公司工作期间，您就曾经同安全研究人员打过交道，现在在Mozilla，您也将要与他们共事。那么，您是如何看待这样一个团体的呢？这些人很可能会把Firefox产品的缺陷暴露在公众面前，这样的例子已经有很多了。
Snyder：我认为安全研究人员是Mozilla团队的另外一个组成部分。如果他们真的对Mozilla项目感兴趣的话，他们就真的有可能为Mozilla做出贡献。他们能够帮助我们进行产品安全设计，针对产品性能提出各种建议，还能够帮助我们识别产品安全漏洞，测试产品安全性能。他们还能够帮助我们开发新的工具来发现更多的产品漏洞。同商业产品相比，开放资源产品的性质本身决定了安全研究人员能够通过更为广泛的方式在产品项目中发挥作用、做出贡献。

CNET：您是否在来Mozilla工作之前就已经开始使用Firefox浏览器了呢？
Snyder：是的。我什么产品都用。所以在家里我用Macs、用运行Linux操作系统的电脑，用很多不同的界面和软件。

CNET：您现在的工作时间是否比以前要长了呢？
Snyder：可能是吧。但是，我把很多时间都用在了加快工作速度上，并且随时对我们的工作进展进行评估。对我来说，这是一项全新的工作，所以必须全力投入。这意味着我必须要花费大量的时间来同大家进行交流，并且要阅读以往所有的安全日志。（责任编辑：王海旭）