Auf der Suche nach einem aussagekräftigen Argument für Antivirensoftware auf Entwicklungsmaschinen [geschlossen]

40

Bei der Meinungsbildung ist es eine gute Praxis, der schulischen Tradition zu folgen - denken Sie so gut Sie können gegen die Meinung, die Sie vertreten, und versuchen Sie, Gegenargumente zu finden.

Egal wie sehr ich es auch versuche, ich kann keine vernünftigen Argumente für Antivirus (und damit verbundene Sicherheitsmaßnahmen) auf Entwicklungscomputern finden.

Es gibt zahlreiche Argumente gegen Antivirus (AV) in der Entwicklung:

  1. Es ist nicht ungewöhnlich, dass der Aufbau einer Minute bei eingeschaltetem AV 10-mal länger dauert
  2. In einem Konferenzgespräch behaupten IntelliJ-Entwickler, dass AV-Software die Nummer 1 ist, wenn ihre IDE träge ist
  3. Das Entpacken erfolgt bei aktivierter AV-Funktion mit einer Geschwindigkeit von ca. 100 kb / s
  4. AV macht Cygwin völlig unbrauchbar (vim benötigt 1 Minute, um eine einfache Datei zu öffnen)
  5. AV hindert mich daran, nützliche Dateien (JARs, DLLs) aus E-Mails von Kollegen herunterzuladen
  6. Ich kann nicht mehrere Computer für die Entwicklung verwenden, da ich aufgrund von AV- / Sicherheitsmaßnahmen nicht die Ports entsperren kann
  7. AV bricht die Leistung von Programmen mit hohem Dateiumsatz ab, wie Maven oder Ant

Zu guter Letzt: Wovor schützt mich AV eigentlich? Mir ist nicht bekannt, dass mein AV-Programm jemals einen Sicherheitsthread beendet.

Wenn der Grund in der Angst liegt, NDA-Informationen preiszugeben, kann mich möglicherweise kein AV davon abhalten, dies zu tun, wenn ich es mir vorgenommen habe.

Wenn der Grund der Verlust von Quellcode und / oder Dokumentation ist, gibt es dafür verteilte Revisionssysteme (es gibt mindestens 20 Kopien unseres Repos und wir synchronisieren täglich).

Wenn der Grund für die Angst ist, Kundendaten preiszugeben, arbeiten Entwickler selten in Verbindung mit realen Produktionsdatenbanken, sondern spielen in Spielzeugumgebungen herum.

Auch wenn es wichtige Argumente für die Verwendung von AV auf Entwicklungscomputern gibt, fallen sie auseinander, wenn es darum geht, eine virtuelle Maschine in Ihrer paranoid geschützten Umgebung auszuführen.

Könnte jemand ein aussagekräftiges, starkes Argument für Antivirensoftware für Entwickler vorbringen, da ich das Thema offen halten möchte?

security hardware development-environment Maros Urbanec
quelle
4
Auch hier können Sie einen Mac / Linux-Entwickler beauftragen, der gelegentlich mithilfe von Windows Virtual Machine überprüft, wie seine Site in Internet Explorer aussieht - und zwar ohne AV. Für mich sieht es so aus, als wären IT-Services auf einer Seite extrem paranoid (Windows-Benutzer) und auf der anderen Seite sehr vertrauenswürdig (Macs / Linuxes).
Maros Urbanec
2
In den wenigen Fällen, in denen ich ein Antivirenprogramm ausgeführt und verwendet habe, habe ich die fortlaufende Überprüfung immer deaktiviert und sie nur nach einem Zeitplan überprüfen lassen. Sobald Windows Defender verfügbar war, habe ich sie überhaupt nicht mehr verwendet. Jetzt benutze ich nicht einmal Windows, es sei denn, ich muss (dh bei der Arbeit ... ugh)
Drake Clarris
22
Ich glaube nicht, dass Ihr Problem AV-Software ist, die übermäßig aufdringliche AV-Software ausführt . Deaktivieren Sie das Scannen von E-Mail-Anhängen, die Firewall (Windows hat eine eigene), das Scannen von ZIP-Dateien usw. Überlassen Sie es einfach einer grundlegenden Echtzeitüberwachung und häufigen Scans außerhalb der Geschäftszeiten.
GroßmeisterB
4
Wenn Ihr AV langsam ist, verwenden Sie das falsche AV.
zzzzBov
6
Es spielt keine Rolle, wie clever Sie sind, keine verdächtigen Links anzuklicken, Plugins zu deaktivieren usw., wenn eine Website, der Sie vertrauen, gehackt wird und einen Browser-Bug verwendet, um eine Malware-Installation durchzuführen. BTDT Mein Backup-System hat den außerplanmäßigen Systemwiederherstellungstest mit Bravour bestanden.
Dan Neely

Antworten:

41

Der eine Grund für die Verwendung von Antivirensoftware auf Entwicklungsmaschinen, die alle Ihre Argumente übertrifft, ist:

Einhaltung von Sicherheitsüberprüfungen.

Banken, Regierungsbehörden und große regulierte Unternehmen mit sensiblen Daten haben in dieser Angelegenheit keine Wahl.

MrFox
quelle
2
Wissen Sie, wie diese Unternehmen mit Linux und / oder Mac umgehen? Müssen Sie als Mitarbeiter dort Windows nutzen?
Maros Urbanec
2
@MarosUrbanec Meiner Erfahrung nach, und dies ist eine Art YMMV-Kommentar, erhalten Sie einen Windows-Entwicklercomputer mit Standardimage. Von dort aus können Sie über Ihr bevorzugtes Terminal eine Verbindung zu einer UNIX / Linux-Box herstellen und arbeiten. Ich habe noch nie Entwickler gesehen, die Macs im Bankgeschäft eingesetzt haben.
MrFox
1
Nachdem sie sowohl für Banken als auch für Regierungsbehörden gearbeitet haben, besteht der Fehler in diesem Argument darin, dass Entwickler selten (wenn überhaupt) über tatsächliche vertrauliche Daten auf ihren Computern verfügen - oder sogar auf vertrauliche Daten im Netzwerk zugreifen. Diese Daten werden normalerweise über eigene Sicherheitsrichtlinien und -rollen gesteuert, und Entwickler haben in der Regel nur Code auf ihren Computern. (Allerdings stelle ich fest, dass IT-Sicherheitsrichtlinien häufig kaum mit der Realität korrelieren).
DA01
1
(Als ich noch im Bankgeschäft war, hatten wir Macs. Das war großartig, da die IT uns in Ruhe ließ und wir tatsächlich produktive Dinge mit unseren Maschinen
erledigen konnten.
1
@ DA01 Unternehmen versuchen, rechtliche Risiken und das Risiko, die Aufsichtsbehörden zu provozieren, zu verringern. Diese können viel teurer sein als eine etwas geringere Entwicklungsproduktivität. Die technischen Argumente sind umstritten. Der Status quo ist zu beschützend und nicht ganz rational - und ja, ich kann diese Vermutung wahrscheinlich auf unsere Regierungen und Rechtssysteme insgesamt ausweiten.
MrFox
42

Wirklich, es gibt absolut keinen Grund, Entwickler von der Verwendung von Antivirensoftware auf ihren Rechnern auszuschließen. Und überwältigend viele Gründe, es zu fordern.

Die meisten der von Ihnen genannten Nachteile können behoben werden, indem Sie der Antivirensoftware mitteilen, dass Ihr Entwicklungsordner (der mit Ihrem Code-Repository verknüpfte Ordner) ein vertrauenswürdiger Speicherort ist. Nachdem wir dies getan hatten (und die IT den täglichen Scan für uns auf einen bestimmten Zeitpunkt am Abend verschoben hatte, da die meisten Entwickler ihre Computer ohnehin eingeschaltet ließen), hatten wir keine Probleme mehr mit der Antivirensoftware auf unseren Computern.

Was das Herunterladen von Dateien aus E-Mails betrifft: Teilen Sie Ihren Freunden einfach mit, eine andere Erweiterung zu verwenden. Keine bekannte - Antiviren-Software ist clever genug, um zu überprüfen, ob es sich um eine erfundene handelt oder nicht. Update : Bitte beachten Sie, dass dies eine Möglichkeit ist, die eher dummen Regeln der meisten E-Mail-Clients in Bezug auf Anhänge zu umgehen. Die meisten Antivirenprogramme lassen sich von der Änderung der Erweiterung nicht täuschen, und selbst wenn dies der Fall ist, tritt das Antivirenprogramm auf , wenn Sie die Erweiterung umbenennen, um sie tatsächlich zu verwenden.

Und für das Port-Problem: Das ist ungefähr das einzige, bei dem die Richtlinien der Antivirensoftware für Entwickler unterschiedlich sein müssen, aber ehrlich gesagt müssen und können wir unsere Serverinstanzen so gut wie möglich entsperren, wir können es immer noch nicht Akzeptieren Sie Verbindungen von außerhalb unseres lokalen Netzwerks. Und sicherheitstechnisch sollte es so sein. Und wir arbeiten mit einem entfernten Team zusammen. Sie verwenden ein VPN (Virtual Private Network) und befinden sich "innerhalb" des lokalen Netzwerks, was die Antivirensoftware betrifft.

Marjan Venema
quelle
25
"Zum Herunterladen von Dateien aus E-Mails: Sagen Sie Ihren Freunden, dass Sie eine andere Erweiterung verwenden sollen." Das ist dumm und bedeutet, dass der AV, den Sie verwenden, einfach Mist ist und die Header der heruntergeladenen Dateien nicht überprüfen kann. Wenn Sie Ihren Arbeitsablauf ändern müssen, um Ihre AV glücklich zu machen, dann viel Glück
toasted_flakes
@grasGendarme Ich finde es nicht dumm, es ist nur die AV, die dumme Benutzer schützt. Der durchschnittliche Benutzer erhält keine E-Mails mit ausführbaren Anhängen, weshalb solche Anhänge wahrscheinlich böswillig sind. Wenn Sie die Erweiterung ändern, um sie zum Laufen zu bringen, haben Sie gezeigt, dass Sie den ausführbaren Inhalt genau kennen und wahrscheinlich wissen, was Sie tun.
Loren Pechtel
11
@LorenPechtel Ja, aber die Idee, Ihren Freunden zu sagen, dass sie die Dateierweiterungen ihrer Anhänge ändern sollen, anstatt Ihr AV zu konfigurieren, ist bestenfalls fraglich
toasted_flakes
1
@grasGendarme ist nicht nur dumm; Aber die einzigen Filter, die ich in diese willkürlich getöteten Anhänge gesteckt habe, befanden sich auf einem Mailserver, nicht lokal. Die meisten von ihnen waren auch schlau genug zu erkennen, dass "TestApp.NotAnExe" oder "SampleData.Piz" exe / zip-Dateien waren, unabhängig von der Erweiterung.
Dan Neely
2
@grasGendarme: Normalerweise ist es nicht der AV, der dies verbietet, sondern der E-Mail-Client. Und die Empfehlung ist auch fraglich. Wenn Sie sich um den E-Mail-Client gekümmert haben, schaltet sich der AV ein, sobald Sie die Datei umbenennen und versuchen, etwas damit zu tun.
Marjan Venema
27

Auf Entwicklermaschinen? Ja, da Entwickler dazu neigen, alle möglichen Dinge herunterzuladen (sowohl verwandte als auch nicht mit der Arbeit verbundene).

Bei der Herstellung von Maschinen ist es auch wichtig, sich nur zu schützen. Es würde wirklich stinken, wenn Sie Ihren Code nur dann bereitstellen / versenden, wenn Sie feststellen, dass es sich um einen Virus handelt, wenn er das Ziel erreicht.

Richard
quelle
6
Warum sollte ein Unternehmen Entwickler einstellen, die nicht klug genug sind, um zu wissen, von was und wo sie Software herunterladen? Das größte Rindfleisch, das ich mit AV-Software auf Entwicklermaschinen habe, ist, dass es beleidigend ist. Ich bin drin. Ich kann das Internet FFS sicher benutzen. ;) (Das heißt, während die meisten AV-Programme absurd sind, sehe ich die Notwendigkeit für regelmäßige Scans und dergleichen - aus keinem anderen Grund, dass der Entwicklercomputer normalerweise mit dem Netzwerk verbunden ist, und wenn andere Computer kompromittiert sind ...)
DA01
7
@ DA91 Es ist keine Beleidigung - jeder macht Fehler und drückt versehentlich die falsche Taste. + Was passiert, wenn sich andere Personen auf dem von Ihnen verwendeten Computer des Unternehmens anmelden?
user151019
@ DA01: Irgendeine Firma, die möglicherweise ausnutzbare Programme (wie Webbrowser) und den Programmierer installiert hat, hat einen Trick mit dem Link zu einer großartigen Lösung für ein Problem auf s1ackexchange.com? Und je nach Unternehmen, für das Sie arbeiten, werden Sie möglicherweise von ganz bestimmten Angriffen oder 0-Tage-Exploits angegriffen.
Maciej Piechotka
1
@Mark vielleicht bin ich leider nicht mehr auf dem neuesten Stand, wie einfach es ist, Windows zu infizieren, aber wenn ich keine ungepatchte Kopie von IE6 oder etwas anderes verwende, denke ich, dass es mehr braucht, als "versehentlich die falsche Taste zu drücken"
DA01
1
Das drängt vor 20 Jahren, aber OK, ich gebe dir das. :)
DA01
11

Es gibt viele Gründe, ein Virenschutzprogramm zu verwenden. Ich persönlich bin jedoch nicht der Meinung, dass sich die Kompromisse lohnen. Sie können sich schützen, indem Sie nur schlau mit Computern umgehen:

  1. Wenn etwas nach Administratorrechten fragt, warum tut es das? Wofür braucht es die?
  2. Stellen Sie sicher, dass Ihr Gerät automatische Updates erhält
  3. Deaktivieren Sie die automatische Ausführung gefährlicher und nicht benötigter Dinge in Ihrem Browser (Flash, Java, Silverlight).
  4. Von Zeit zu Zeit überprüft msconfig. Läuft beim Start ein seltsames Programm? Es ist Zeit, einen (einmaligen) Scan durchzuführen und sicherzustellen, dass nichts Schlimmes passiert
  5. Verwenden Sie eine VM für die Entwicklung. Dies hat eine Geschwindigkeitsbeeinträchtigung, aber als Windows 8 das letzte Mal auf meiner VM starb, musste ich nur auf einen Schnappschuss von einer Woche zurückgreifen und einen ausführen git pull. Dies ist viel einfacher, als Schnappschüsse von physischen Maschinen zu erstellen, insbesondere bei sich ändernder Hardware

Ich habe noch nie ein Virenschutzprogramm gesehen, das die Systemleistung nicht wesentlich beeinträchtigt hat. Ich bin 2008 zu Linux und / oder OpenBSD gewechselt, wo ich immer noch sehe, welche Programme ich laufe, aber dort ist es viel einfacher als unter Windows zu wissen, was ein Programm tun wird (hauptsächlich, weil die meisten Dinge Open Source sind).

Wie auch immer, seit ich umgestiegen bin, starte ich Windows auf einer VM und Linux fast ausschließlich auf dem physischen Computer, auch an meinem Arbeitsplatz (Microsoft-Shop). Ich habe noch nie ein Virenschutzprogramm auf einer VM installiert. Ich surfe aus offensichtlichen Gründen nicht wirklich im Internet oder auf der VM, daher mache ich mir keine großen Sorgen, dass meine Bankkontodaten irgendwohin gehen. Das Schlimmste, was sie bekommen könnten, sind proprietäre Informationen oder mein Passwort. Ich benutze zufällige Passwörter, das ist also ziemlich sinnlos. Und wenn der Virus proprietäre Informationen erhalten soll (z. B. proprietären Quellcode), ist er wahrscheinlich so zielgerichtet und benutzerdefiniert, dass kein Antivirus ihn sowieso erkennt.

Bearbeiten:

Eigentlich führe ich ein AV-Programm auf meiner VM aus. Ich verwende Windows Defender, aber das liegt im Grunde daran, dass es standardmäßig aktiviert ist und so aufdringlich ist, dass ich nie bemerkt habe, dass es ausgeführt wird

Earlz
quelle
7

Könnte bitte jemand ein aussagekräftiges, starkes Argument für die Antivirensoftware für Entwickler vorbringen, da ich das Thema offen halten möchte?

Ich vermute, dass die meisten Leute, die dieses Forum besuchen, schlau genug sind, gefährliche Internetseiten nicht herunterzuladen oder zu besuchen. Sie sehen AV daher als Ärger an oder werden nicht benötigt.

Aber du brauchst wirklich AV-Software. Nicht für dich, sondern für den armen Kerl (Computer-Neuling), der in einer E-Mail auf den Link "Hier klicken, um süße Kätzchen zu sehen" klickt. Das Letzte, was er sieht, sind Hunderte von Pop-ups mit süßen kleinen Kätzchen, die sagen, dass alle deine Basen gehören uns ", da die Maschine von Malware infiziert ist.

Dann breitet sich die Malware in Ihrem Netzwerk aus und als nächstes sehen Sie, dass Ihr Prozessor zu 100% läuft und nichts funktioniert.

Wenn Sie sich nicht in einer Blase entwickeln, möchte ich Schutz. Ich kann zitieren, dass ich, als ich für eine Firma arbeitete, die entschied, dass sie kein AV brauchte, eine Zeitlang in Ordnung war, bis sich alle Computer infizierten. Die Maschinen wurden neu formatiert und es ging viel Zeit verloren. Dann bekam jeder AV und einen Firmenhinweis, AV nicht zu deaktivieren oder zu deinstallieren.

Wie andere vorgeschlagen haben, können Sie den AV-Modus optimieren, damit er sich weniger auf Ihre täglichen Bemühungen auswirkt.

Sie können die Gratwanderung ohne Netz machen, aber ich bevorzuge es wirklich, ein Netz zu haben, auch wenn ich es nie brauche.

Jon Raynor
quelle
5
-1 Wie ich auf der Hauptfrage bemerkt habe; Eine vertrauenswürdige Site kann gehackt werden, um Sie mit einem Drive-by-Attack zu infizieren, selbst wenn Sie klug genug sind, nicht auf zufällige Kätzchen-Links zu klicken.
Dan Neely
1
Außerdem kann Ihr Unternehmen entscheiden, ob Sie (und damit auch Ihr Unternehmen) die Gratwanderung antreten dürfen, nicht Sie. Zu Hause kann man sich entscheiden.
Mark Allen
3
+1, da dies wirklich das einzig gültige Argument ist. Es sind nicht Sie als Entwickler, sondern die anderen 100 Computer, mit denen Sie das Netzwerk teilen. Was Drive-by-Angriffe angeht, so sind das immer noch hauptsächlich aktualisierte IEs, JRMs und Flash-Plugins und dergleichen ... normalerweise auch solche Dinge, die ein Entwickler nicht auf seinem Computer haben möchte. ;)
DA01
@Dan - Entschuldigung, mein Beitrag sollte nicht bedeuten, dass das Öffnen von E-Mails der einzige Weg ist, einen Virus zu bekommen. Es war nur ein Beispiel, um mein Argument für AV-Software zu veranschaulichen.
Jon Raynor
4

Ich stimme zu, dass Antivirensoftware so aufdringlich ist, dass man sich wundert, ob das Medikament schlechter ist als das Heilmittel. Auch ich bin versucht, darauf zu verzichten und zu sehen, was passiert.

Dies habe ich jedoch noch nie getan, da der Verzicht auf Antivirensoftware schwerwiegende Risiken birgt. Informationen können gestohlen werden, Daten können verloren gehen oder Ihr Computer kann durch Spyware blockiert werden. Ihre Software hat wahrscheinlich viele Angriffe blockiert, von denen Sie nicht einmal wussten. "Es ist noch nicht geschehen" ist auch kein gutes Argument gegen Vorsichtsmaßnahmen.

Eine Sache, die ich vorschlagen würde , ist die Anpassung der Einstellungen Ihrer Antivirensoftware. Sie können wahrscheinlich einige der Funktionen deaktivieren, um einen akzeptablen Kompromiss zwischen Leistung und Sicherheit zu erzielen. Die meisten der von Ihnen beschriebenen Hauptprobleme sind auf das Scannen von Dateien in Echtzeit zurückzuführen. Ich glaube nicht, dass du das wirklich brauchst (solange du nichts Dummes tust), und wenn du es abschaltest, wirst du wahrscheinlich feststellen, dass 90% des Ärgers verschwinden.


quelle
1

Ich habe noch nie Verzögerungen mit Build-Zeiten erlebt. Ich bin ein Windows-Entwickler und Windows 8 verfügt über ein robustes AV-System (unter Windows XP-7 können Sie die kostenlosen Microsoft Security Essentials verwenden - ein hervorragendes Produkt, das nur geringe Auswirkungen auf die Leistung hat).

Wenn Ihre Erstellungszeiten 10x länger dauern, würde ich vorschlagen, eine bessere AV-Software auf Ihrer Plattform zu finden - und sicherzustellen, dass Sie MSE auf Ihrem Windows-Computer verwenden.

Niico
quelle
0

Wenn Ihr Unternehmen Antivirensoftware schreibt, müssen Sie Ihre Software möglicherweise testen oder mit Hundefutter versorgen.

Klingt weit hergeholt, aber es war genau mein Fall vor 3 oder 4 Jahren, und ich kann Ihnen versichern, dass es überhaupt nicht null Auswirkungen war.

Darüber hinaus wurden im Jahr 2010

Die Malware-Branche hat im ersten Halbjahr fast vier neue Viren pro Minute veröffentlicht.

- https://www.gdatasoftware.co.uk/press-center/news/article/article/1760-number-of-new-computer-viruses.html

Angesichts dieser Zahlen kann AV-Software nur durch Heuristiken mithalten - in der Praxis überwachen Sie bestimmte Win32-Aufrufe und veranlassen Sie sie, die AV auszulösen. Natürlich ist dies ein bisschen ein Problem , wenn Sie benötigen diese Anrufe als Entwickler zu machen. Wieder ist ein Problem aufgetreten, das ich gesehen habe.

Sklivvz
quelle
0

Sobald es AV-Software für Power-User gibt, würde ich sagen, dass es keinen Grund dagegen gibt. Das Problem ist, dass alle * AV-Software für Ihre Eltern gemacht ist. Sie haben mehr Geld als Sie und sind bereit, für das Gefühl der Sicherheit zu bezahlen (und auf weitere Schaltflächen zu klicken, um Kätzchen-Symbolleisten herunterzuladen).

* Für geeignete Werte von "all". Ich habe bisher jedes AV-Programm (etwa ein halbes Dutzend bedeutender Marken) als äußerst abscheulich und invasiv empfunden.

l0b0
quelle