在网上查找安全风险时,我发现所有被引用的研究(如果有的话)似乎总是来自反恶意软件公司。(例如,本文引用了 F-secure、AVG 和 McAfee)。
我主要做这种“研究”,以检查媒体中最新的 IT 安全头条究竟有多危险。(即:对我奶奶危险?对我姐姐危险?还是对我?作为一个熟悉他的人。)
虽然我认为自己不倾向于任何“阴谋论”,但我发现所有研究和专业声明都令人失望。我似乎能够找到的对我和我家人的安全风险,似乎是由试图出售其 Anti-* 软件包的公司造成的。
是否有任何“独立”方(如大学部、政府机构)发布信息。新的安全威胁?
(注意:我并不是说他们不会有任何偏见,但他们会有稍微不同的偏见,或者我希望:-))
编辑:经过一些回答和评论,似乎情况可能是(大众)媒体经常引用恶意软件公司,因为这些公司很容易引用关于消费者新安全风险的新闻稿。
有无数的独立组织和个人发布有关计算机安全的信息。问题不在于找到它们;问题在于跟踪所有这些信息来源。两个示例起点包括Bruce Schneier 的博客和Krebs on Security。
如果您认为所有计算机安全研究都来自反恶意软件公司,那么您就没有找到正确的来源。还有许多其他人也发表计算机安全研究——你知道,包括大学、行业研究实验室、独立测试实验室等的专业研究人员。
另一个注意事项:业内有些人想劫持“研究”这个词来表示诸如在某个随机网站中发现新漏洞之类的意思。这些人正试图免费利用与科学研究相关的积极信誉和声誉。不要上当。“研究”这个词有一个更古老的、既定的含义,整个社区都在从事计算机安全的科学研究,他们的行为方式截然不同。
一般性评论:您的问题可能过于宽泛,无法完全满足您的需求。如果您看到一些您希望获得独立意见的特定研究,为什么不尝试发布一个专门的问题呢?
如果您关注 Full Disclosure ( http://seclists.org/fulldisclosure/ ) 和 bugtraq ( http://www.securityfocus.com/archive/1 ) 邮件列表,您会发现有很多个人或非个人的安全研究- 商业实体。
您应该加入完整披露和 bugtraq 邮件列表,并关注http://www.exploit-db.com/发布的漏洞利用和论文。一些商业供应商的建议也是基于第三方的这些公共建议。