人们通常把黑客看做是技术非常高超的人,因为他们必须能够发现软件系统中的漏洞并利用它进行攻击,对吗?专家表示,在一些复杂的黑客攻击案例中的确是这样的。但在很多其它黑客行为中并非如此。编写你使用的程序的程序员们并不会每一次都从头开始敲代码,他们经常会免费地从论坛、搜索结果中“借鉴”别人的代码片段。这就会产生问题:他们没有仔细推敲过这些代码段的安全性。
许多程序员与其被称为“程序设计师”倒不如“代码组装者”来的更贴切,专家估计在任何软件工程中都有80%到90%代码是从第三方复制而来的。有时候程序员干脆从别的公司购买代码包或者使用开源免费代码。这种问题影响到所有软件,不仅限于桌面程序,移动app和网站架构都难以幸免。倒是手机和电脑的操作系统的“原创度”很高。
软件安全公司Veracode联合创始人Chris Wysopal表示,领着高薪水的程序员们工作的重点是效率和开发速度,绝不是安全性。他的公司为公司评估软件的安全性,在周二他们发布了一份关于客户软件使用习惯的报告。
报告显示Veracode在对客户去年使用的超过200000款软件进行检测后发现了690万个缺陷问题。客户们修复了470万个缺陷。其中有一些是各公司的内部程序员自己编写的,但绝大部分问题代码来源于别的地方。
Wysopal说道:“尽可能多的重复使用代码是流行的趋势。”这样可以加快开发进程,让程序员们专注解决新问题而非一遍遍解决旧问题重新发明轮子。这些听起来都不错,除了安全隐患。
Veracode客户中安全性最差的是政府部门。报告称:“原因可能是政府部门依然在使用过时的编程语言。”有漏洞的源代码问题有多大呢?显然已经足以养活Veracode这样一个以检测代码为生的公司了。当然也有其它公司提供类似服务,这些公司给“匆匆忙忙”的程序员提供一些安全保障。
Sonatype是另一家从事代码漏洞安全检测的公司,CEO Joshua Corman表示程序员喜欢Ctrl-C、Ctrl-V,这说明他们很懒吗?不,他们只是在有效率地工作。一些公司使用Veracode和Sonatype这样的服务来保证安全性,另一些则雇佣安全检测员,这些人的职责就是在代码中寻找漏洞。Sonatype公司提供一些经过仔细检验的开源代码库,同时他们也致力于发现和消除漏洞。
软件开发的流程越来越短,程序员们引用的代码段只会越来越多。Wysopal表示:“新程序语言和新开发环境会出现,各公司都想尽快把软件推到市场,但追求效率不一定要牺牲安全性。”
- 优必选天工行者机器人已收获百台订单 今年预计交付将超300台
- 上交所:科创成长层调出条件实施“新老划断” 提高新注册未盈利企业调出条件
- 上交所:个人投资者参与科创成长层股票交易门槛仍为“50万元资产+2年经验”
- 资深专业机构投资者认定标准细化 持续持有发行人3%以上股份或5亿元以上投资额
- 行情终端和交易终端将区分展示存量和新注册科创成长层股票 科创成长层股票简称后增加特殊标识“U”
- 科创板试点IPO预先审阅机制 适用情形明确
- 上交所发布《科创成长层指引》 存量32家未盈利企业即日起进入科创成长层
- 2025国际基础科学大会在京开幕 聚焦AI与人类未来
- Perplexity CEO表示或将利用Kimi K2进行后训练
- 我国首个原初引力波探测实验一期建成并实现首光观测
- 北芯生命科创板IPO将于7月18日上会
- 聊天机器人惹祸 马斯克旗下公司致歉
- 美团即时零售单量突破1.5亿
- 美团即时零售日订单量达1.3亿单
- 2025年我国新能源汽车人才缺口高达上百万 智驾工程师供需比仅0.38
- 截至7月11日 今年238家港股上市公司累计回购金额近1800亿港元
- 财联社7月13日电,据媒体报道,马斯克的SpaceX将向他的XAI投资20亿美元。
- 京东外卖将转向爆品策略
- 财联社创投通:一级市场本周融资总额约46.31亿元环比减少0.45% 先进制造、人工智能活跃度居前
- 运来智能机器人研制总部项目落地无锡高新区
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
