黑客看做中的漏洞有多大呢?专家:足以养活Veracode

网易科技报6月24日消息,人们通常认为黑客是非常熟练的人,因为他们必须能够发现软件系统中的漏洞并利用它们进行攻击,对吧?

专家说,在一些复杂的黑客案例中确实如此。但在许多其他黑客中并非如此。编写您使用的程序的程序员不会每次都从头开始键入代码,他们经常从论坛和搜索结果中“借用”其他人的代码片段。这就产生了一个问题:他们没有仔细考虑过这些代码的安全性。

许多程序员被称为“代码汇编者”而不是“程序员”,专家估计任何软件项目中 80% 到 90% 的代码都是从第三方复制的。有时程序员只是从其他公司购买代码包或使用开源免费代码。这个问题影响到所有软件,不仅仅是桌面程序,移动应用程序和网站架构也不能幸免。相反,手机和电脑操作系统的“原创度”非常高。

软件安全公司 Veracode 的联合创始人 Chris Wysopal 表示软件编程是干什么的,高薪程序员的重点是开发效率和速度,而不是安全性。他的公司为公司评估软件安全性,并于周二发布了一份关于客户软件使用习惯的报告。

报告显示,Veracode 在去年测试了客户使用的超过 200,000 个软件产品后发现了 690 万个错误。客户修复了 470 万个错误。其中一些是公司内部程序员编写的,但大部分有问题的代码来自其他地方。

图片[1]-黑客看做中的漏洞有多大呢?专家:足以养活Veracode-老王博客

Wysopal 说:“尽可能多地重用代码是一种流行趋势。”这加快了开发过程,允许程序员专注于解决新问题软件编程是干什么的,而不是一遍又一遍地重新发明轮子。这些听起来都不错,除了安全隐患。

最不安全的 Veracode 客户是政府部门。 “原因可能是政府部门仍在使用过时的编程语言,”报告称。易受攻击的源代码的问题有多大?显然足以养活像 Veracode 这样靠检查代码谋生的公司。当然还有其他公司提供类似的服务,为“赶时间”的程序员提供一些安全保障。

Sonatype 是另一家从事代码漏洞安全检测的公司。 CEO Joshua Corman 说程序员喜欢 Ctrl-C 和 Ctrl-V。这是否意味着他们很懒惰?不,他们只是在高效地工作。一些公司使用 Veracode 和 Sonatype 等服务来确保安全,而另一些公司则雇佣安全检查员,他们的工作是发现代码中的漏洞。 Sonatype 提供了一些经过仔细测试的开源代码库,它们还致力于发现和消除错误。

软件开发的过程越来越短,程序员引用的代码片段只会越来越多。 “新的编程语言和新的开发环境将会出现,公司希望尽快将软件推向市场,但效率不必牺牲安全性,”Wysopal 说。

(常数)

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论