06月24日消息,人們通常把黑客看做是技術(shù)非常高超的人��,因?yàn)樗麄儽仨毮軌虬l(fā)現(xiàn)軟件系統(tǒng)中的漏洞并利用它進(jìn)行攻擊,對嗎����?
專家表示,在一些復(fù)雜的黑客攻擊案例中的確是這樣的����。但在很多其它黑客行為中并非如此。編寫你使用的程序的程序員們并不會(huì)每一次都從頭開始敲代碼��,他們經(jīng)常會(huì)免費(fèi)地從論壇�、搜索結(jié)果中“借鑒”別人的代碼片段。這就會(huì)產(chǎn)生問題:他們沒有仔細(xì)推敲過這些代碼段的安全性�。
許多程序員與其被稱為“程序設(shè)計(jì)師”倒不如“代碼組裝者”來的更貼切,專家估計(jì)在任何軟件工程中都有80%到90%代碼是從第三方復(fù)制而來的��。有時(shí)候程序員干脆從別的公司購買代碼包或者使用開源免費(fèi)代碼��。這種問題影響到所有軟件�����,不僅限于桌面程序����,移動(dòng)app和網(wǎng)站架構(gòu)都難以幸免����。倒是手機(jī)和電腦的操作系統(tǒng)的“原創(chuàng)度”很高�����。
軟件安全公司Veracode聯(lián)合創(chuàng)始人Chris Wysopal表示��,領(lǐng)著高薪水的程序員們工作的重點(diǎn)是效率和開發(fā)速度��,絕不是安全性�。他的公司為公司評(píng)估軟件的安全性,在周二他們發(fā)布了一份關(guān)于客戶軟件使用習(xí)慣的報(bào)告�。
報(bào)告顯示Veracode在對客戶去年使用的超過200000款軟件進(jìn)行檢測后發(fā)現(xiàn)了690萬個(gè)缺陷問題�?蛻魝冃迯(fù)了470萬個(gè)缺陷。其中有一些是各公司的內(nèi)部程序員自己編寫的�����,但絕大部分問題代碼來源于別的地方��。
Wysopal說道:“盡可能多的重復(fù)使用代碼是流行的趨勢�������!边@樣可以加快開發(fā)進(jìn)程�����,讓程序員們專注解決新問題而非一遍遍解決舊問題重新發(fā)明輪子�。這些聽起來都不錯(cuò),除了安全隱患����。
Veracode客戶中安全性最差的是政府部門。報(bào)告稱:“原因可能是政府部門依然在使用過時(shí)的編程語言�������!庇新┒吹脑创a問題有多大呢�?顯然已經(jīng)足以養(yǎng)活Veracode這樣一個(gè)以檢測代碼為生的公司了。當(dāng)然也有其它公司提供類似服務(wù)�����,這些公司給“匆匆忙忙”的程序員提供一些安全保障。
Sonatype是另一家從事代碼漏洞安全檢測的公司�,CEO Joshua Corman表示程序員喜歡Ctrl-C、Ctrl-V��,這說明他們很懶嗎�����?不�����,他們只是在有效率地工作����。一些公司使用Veracode和Sonatype這樣的服務(wù)來保證安全性,另一些則雇傭安全檢測員�����,這些人的職責(zé)就是在代碼中尋找漏洞��。Sonatype公司提供一些經(jīng)過仔細(xì)檢驗(yàn)的開源代碼庫��,同時(shí)他們也致力于發(fā)現(xiàn)和消除漏洞����。
軟件開發(fā)的流程越來越短��,程序員們引用的代碼段只會(huì)越來越多。Wysopal表示:“新程序語言和新開發(fā)環(huán)境會(huì)出現(xiàn)����,各公司都想盡快把軟件推到市場,但追求效率不一定要犧牲安全性�。”
更新時(shí)間:2014-05-11
