程序员\"偷懒\"给软件带来安全隐患

人们通常把黑客看做是技术非常高超的人,因为他们必须能够发现软件系统中的漏洞并利用它进行攻击,对吗?专家表示,在一些复杂的黑客攻击案例中的确是这样的。但在很多其它黑客行为中并非如此。编写你使用的程序的程序员们并不会每一次都从头开始敲代码,他们经常会免费地从论坛、搜索结果中“借鉴”别人的代码片段。这就会产生问题:他们没有仔细推敲过这些代码段的安全性。

许多程序员与其被称为“程序设计师”倒不如“代码组装者”来的更贴切,专家估计在任何软件工程中都有80%到90%代码是从第三方复制而来的。有时候程序员干脆从别的公司购买代码包或者使用开源免费代码。这种问题影响到所有软件,不仅限于桌面程序,移动app和网站架构都难以幸免。倒是手机和电脑的操作系统的“原创度”很高。

软件安全公司Veracode联合创始人Chris Wysopal表示,领着高薪水的程序员们工作的重点是效率和开发速度,绝不是安全性。他的公司为公司评估软件的安全性,在周二他们发布了一份关于客户软件使用习惯的报告。

报告显示Veracode在对客户去年使用的超过200000款软件进行检测后发现了690万个缺陷问题。客户们修复了470万个缺陷。其中有一些是各公司的内部程序员自己编写的,但绝大部分问题代码来源于别的地方。

Wysopal说道:“尽可能多的重复使用代码是流行的趋势。”这样可以加快开发进程,让程序员们专注解决新问题而非一遍遍解决旧问题重新发明轮子。这些听起来都不错,除了安全隐患。

Veracode客户中安全性最差的是政府部门。报告称:“原因可能是政府部门依然在使用过时的编程语言。”有漏洞的源代码问题有多大呢?显然已经足以养活Veracode这样一个以检测代码为生的公司了。当然也有其它公司提供类似服务,这些公司给“匆匆忙忙”的程序员提供一些安全保障。

Sonatype是另一家从事代码漏洞安全检测的公司,CEO Joshua Corman表示程序员喜欢Ctrl-C、Ctrl-V,这说明他们很懒吗?不,他们只是在有效率地工作。一些公司使用Veracode和Sonatype这样的服务来保证安全性,另一些则雇佣安全检测员,这些人的职责就是在代码中寻找漏洞。Sonatype公司提供一些经过仔细检验的开源代码库,同时他们也致力于发现和消除漏洞。

软件开发的流程越来越短,程序员们引用的代码段只会越来越多。Wysopal表示:“新程序语言和新开发环境会出现,各公司都想尽快把软件推到市场,但追求效率不一定要牺牲安全性。”



企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

Baidu
map