漏洞出售中

2014年我們可以發(fā)現(xiàn)在所有的利用程序中都存在漏洞，Heartbleed心臟滴血漏洞和Shellshock都讓系統(tǒng)管理者措手不及，開放原代碼服務(wù)器利用程序也可能出現(xiàn)嚴(yán)重的安全漏洞。

事實上，要讓軟件完全沒有漏洞是非常困難而且代價昂貴的，每千行程序代碼中，你可以預(yù)期找出15到50個某種毛病。也許你可以取得真實的關(guān)鍵利用，但以這類方法下降毛病率會大大增加軟件開發(fā)時間和金錢本錢。

雖然這樣很耗費本錢，開發(fā)人員還是需要更好地去建立安全的產(chǎn)品。軟件漏洞被發(fā)現(xiàn)和表露方式的改變，可能意味著用戶由于漏洞所面臨的風(fēng)險會比以往還要大。

過去，有漏洞被發(fā)現(xiàn)后會反饋給開發(fā)人員，以便他們修復(fù)漏洞去盡量地保護更多的用戶。但如今卻有愈來愈多的漏洞被公司發(fā)現(xiàn)后其實不是反饋給開發(fā)人員，而是高價售出這1信息，致使開發(fā)人員沒法修復(fù)他們的產(chǎn)品，用戶也處于風(fēng)險中。但是，安全社交網(wǎng)絡(luò)中大多數(shù)人都還意識不到要挾，整體來講網(wǎng)絡(luò)是不太安全的。

1些國家的政府已在想法控制這些市場。去年，瓦圣納協(xié)議（Wassenaar Arrangement）斟酌將漏洞攻擊程序代碼列入新的“入侵軟件”領(lǐng)域，此協(xié)議所涵蓋的項目被認(rèn)為是“兩重用處”（即軍事和民間利用）。這意味著協(xié)議的41個成員國可能對這些項目進(jìn)行出口管制。事實上，今年P(guān)wn2Own的準(zhǔn)出席者被要求與其律師確認(rèn)他們是不是需要出口授權(quán)或政府是不是通知允許參加。

其實并不是只有把漏洞賣到公然市場這1種方法來獲得報酬的，主要網(wǎng)站和廠商都提供漏洞獎金給在他們產(chǎn)品找出漏洞的研究人員。我們不能逼迫公司或個人停止買進(jìn)或賣出漏洞，我們所能做的就是通過建立更加安全的產(chǎn)品，包括更少的漏洞及更好地解決問題的方案，讓網(wǎng)絡(luò)對每一個人來講都更加安全。

轉(zhuǎn)載請標(biāo)明文章來源于趨勢科技！

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學(xué)習(xí)有所幫助,可以手機掃描二維碼進(jìn)行捐贈