“祸起”第三方软件
“祸起”第三方软件
一份来自IBM安全组织的报告指出,前5大IT厂商,包括微软、IBM、思科、Oracle和Apple,总共的系统漏洞只占了所有漏洞的14%,而其他中小厂商出品的应用软件则占了86%。应用软件的安全性着实堪忧!
“因为第三方软件在开发过程中只考虑功能本身,并没有把安全考虑进去,所以漏洞百出。”裔云天直言不讳。他指出,之所以漏洞百出还有客观的外在因素,中国很多中小型软件开发商,本身生存就非常困难,也很难将自己的开发人员输出进行安全培训,且国内也很少有开发方面的安全培训。
事实也确如此,对大多数软件厂商而言,最大目的就是完成所开发软件的功能,其开发人员也没有安全方面的培训,即只是开发软件功能,而不是开发一个安全的软件。比如ERP财务软件,设计之初,鲜有开发者会考虑到,当输入一个字串时,它是不是要检查是否有效,如百分比等等,因为黑客会对这个进行攻击;还有对输入长度进行检查,许多开发者并不会考虑这点,所以当他调用时就会产生安全隐患,但他并不知情。
前文微软报告还显示,在基于浏览器漏洞的攻击中,使用中文简体版本浏览器的用户位列被攻击对象的第二位,占25.6%;从2008年下半年开始,每月被Live Search检测到的挂马网页数量超过一百万,.CN 域名网站中有超过1%的网站被挂马。且冒牌安全软件呈现爆发趋势。所谓冒牌安全软件,是指在木马病毒盛行的情况下,用户会自主搜索一些免费的“安全软件”,而此时搜索引擎所列厂商很多都是伪装的安全厂商,自称安装后不会再有病毒侵入,以免费三个月等期限为诱饵,实际他们本身就是木马,欺骗用户安装。
鉴于互联网安全趋势正从操作系统转向应用软件,为在软件开发过程中确保其安全性和可靠性,微软耗费近7年时间建立起一套安全方法论“软件安全开发生命周期(SDL)”。从安全教育、安全设计、到安全响应,在软件开发的每一个阶段都严把安全关,有效地降低安全漏洞和隐私问题的数量,以及残留漏洞的严重性。微软所开发的所有软件都必须经过这一方法论的监测,如果安全状况达不到标准,无论功能多么完备都不会被发布。据悉,SDL流程还将被用于帮助我国政府、合作伙伴、软件开发商改进第三方软件,最终建立端到端安全可信的互联网环境。
一方面系统提供商在为安全积极改进,同时,微软也认为,用户也要增强自我保护的习惯和知识,坚持使用正版软件,开启操作系统自动更新,便于他们第一时间发现问题自动帮助用户修复。
网友评论