程序員"偷懶"給軟件帶來隱患

2015-06-25 09:47:43 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

人們通常把黑客看做是技術(shù)非常高超的人，因?yàn)樗麄儽仨毮軌虬l(fā)現(xiàn)軟件系統(tǒng)中的漏洞并利用它進(jìn)行攻擊，對(duì)嗎？專家表示，在一些復(fù)雜的黑客攻擊案例中的確是這樣的。但在很多其它黑客行為中并非如此。編寫你使用的程序

人們通常把黑客看做是技術(shù)非常高超的人，因?yàn)樗麄儽仨毮軌虬l(fā)現(xiàn)軟件系統(tǒng)中的漏洞并利用它進(jìn)行攻擊，對(duì)嗎？

專家表示，在一些復(fù)雜的黑客攻擊案例中的確是這樣的。但在很多其它黑客行為中并非如此。編寫你使用的程序的程序員們并不會(huì)每一次都從頭開始敲代碼，他們經(jīng)常會(huì)免費(fèi)地從論壇、搜索結(jié)果中“借鑒”別人的代碼片段。這就會(huì)產(chǎn)生問題：他們沒有仔細(xì)推敲過這些代碼段的安全性。

許多程序員與其被稱為“程序設(shè)計(jì)師”倒不如“代碼組裝者”來的更貼切，專家估計(jì)在任何軟件工程中都有80%到90%代碼是從第三方復(fù)制而來的。有時(shí)候程序員干脆從別的公司購買代碼包或者使用開源免費(fèi)代碼。這種問題影響到所有軟件，不僅限于桌面程序，移動(dòng)app和網(wǎng)站架構(gòu)都難以幸免。倒是手機(jī)和電腦的操作系統(tǒng)的“原創(chuàng)度”很高。

軟件安全公司Veracode聯(lián)合創(chuàng)始人Chris Wysopal表示，領(lǐng)著高薪水的程序員們工作的重點(diǎn)是效率和開發(fā)速度，絕不是安全性。他的公司為公司評(píng)估軟件的安全性，在周二他們發(fā)布了一份關(guān)于客戶軟件使用習(xí)慣的報(bào)告。

報(bào)告顯示Veracode在對(duì)客戶去年使用的超過200000款軟件進(jìn)行檢測(cè)后發(fā)現(xiàn)了690萬個(gè)缺陷問題?？蛻魝冃迯?fù)了470萬個(gè)缺陷。其中有一些是各公司的內(nèi)部程序員自己編寫的，但絕大部分問題代碼來源于別的地方。

Wysopal說道：“盡可能多的重復(fù)使用代碼是流行的趨勢(shì)。”這樣可以加快開發(fā)進(jìn)程，讓程序員們專注解決新問題而非一遍遍解決舊問題重新發(fā)明輪子。這些聽起來都不錯(cuò)，除了安全隱患。

Veracode客戶中安全性最差的是政府部門。報(bào)告稱：“原因可能是政府部門依然在使用過時(shí)的編程語言。”有漏洞的源代碼問題有多大呢？顯然已經(jīng)足以養(yǎng)活Veracode這樣一個(gè)以檢測(cè)代碼為生的公司了。當(dāng)然也有其它公司提供類似服務(wù)，這些公司給“匆匆忙忙”的程序員提供一些安全保障。

Sonatype是另一家從事代碼漏洞安全檢測(cè)的公司，CEO Joshua Corman表示程序員喜歡Ctrl-C、Ctrl-V，這說明他們很懶嗎？不，他們只是在有效率地工作。一些公司使用Veracode和Sonatype這樣的服務(wù)來保證安全性，另一些則雇傭安全檢測(cè)員，這些人的職責(zé)就是在代碼中尋找漏洞。Sonatype公司提供一些經(jīng)過仔細(xì)檢驗(yàn)的開源代碼庫，同時(shí)他們也致力于發(fā)現(xiàn)和消除漏洞。

軟件開發(fā)的流程越來越短，程序員們引用的代碼段只會(huì)越來越多。Wysopal表示：“新程序語言和新開發(fā)環(huán)境會(huì)出現(xiàn)，各公司都想盡快把軟件推到市場(chǎng)，但追求效率不一定要犧牲安全性。”

（恒）

責(zé)任編輯：大云網(wǎng)

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊