程序員"偷懶"給軟件帶來隱患

2015-06-25 09:47:43 大云網　點擊量：評論 (0)

人們通常把黑客看做是技術非常高超的人，因為他們必須能夠發現軟件系統中的漏洞并利用它進行攻擊，對嗎？專家表示，在一些復雜的黑客攻擊案例中的確是這樣的。但在很多其它黑客行為中并非如此。編寫你使用的程序

人們通常把黑客看做是技術非常高超的人，因為他們必須能夠發現軟件系統中的漏洞并利用它進行攻擊，對嗎？

專家表示，在一些復雜的黑客攻擊案例中的確是這樣的。但在很多其它黑客行為中并非如此。編寫你使用的程序的程序員們并不會每一次都從頭開始敲代碼，他們經常會免費地從論壇、搜索結果中“借鑒”別人的代碼片段。這就會產生問題：他們沒有仔細推敲過這些代碼段的安全性。

許多程序員與其被稱為“程序設計師”倒不如“代碼組裝者”來的更貼切，專家估計在任何軟件工程中都有80%到90%代碼是從第三方復制而來的。有時候程序員干脆從別的公司購買代碼包或者使用開源免費代碼。這種問題影響到所有軟件，不僅限于桌面程序，移動app和網站架構都難以幸免。倒是手機和電腦的操作系統的“原創度”很高。

軟件安全公司Veracode聯合創始人Chris Wysopal表示，領著高薪水的程序員們工作的重點是效率和開發速度，絕不是安全性。他的公司為公司評估軟件的安全性，在周二他們發布了一份關于客戶軟件使用習慣的報告。

報告顯示Veracode在對客戶去年使用的超過200000款軟件進行檢測后發現了690萬個缺陷問題。客戶們修復了470萬個缺陷。其中有一些是各公司的內部程序員自己編寫的，但絕大部分問題代碼來源于別的地方。

Wysopal說道：“盡可能多的重復使用代碼是流行的趨勢。”這樣可以加快開發進程，讓程序員們專注解決新問題而非一遍遍解決舊問題重新發明輪子。這些聽起來都不錯，除了安全隱患。

Veracode客戶中安全性最差的是政府部門。報告稱：“原因可能是政府部門依然在使用過時的編程語言。”有漏洞的源代碼問題有多大呢？顯然已經足以養活Veracode這樣一個以檢測代碼為生的公司了。當然也有其它公司提供類似服務，這些公司給“匆匆忙忙”的程序員提供一些安全保障。

Sonatype是另一家從事代碼漏洞安全檢測的公司，CEO Joshua Corman表示程序員喜歡Ctrl-C、Ctrl-V，這說明他們很懶嗎？不，他們只是在有效率地工作。一些公司使用Veracode和Sonatype這樣的服務來保證安全性，另一些則雇傭安全檢測員，這些人的職責就是在代碼中尋找漏洞。Sonatype公司提供一些經過仔細檢驗的開源代碼庫，同時他們也致力于發現和消除漏洞。

軟件開發的流程越來越短，程序員們引用的代碼段只會越來越多。Wysopal表示：“新程序語言和新開發環境會出現，各公司都想盡快把軟件推到市場，但追求效率不一定要犧牲安全性。”

（恒）