2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
坦率地說:您的代碼充滿了安全漏洞。同樣糟糕的是,你的員工在密碼和其他侵入你數(shù)據(jù)的方法上也很粗心。
因此,盡管我們可能會(huì)對(duì)塔吉特(Target)、摩根士丹利(Morgan Stanley)或其他數(shù)十起安全漏洞束手無策,但事實(shí)是,你的公司尚未被攻破的唯一原因,就是黑客懶得去嘗試。然而。
再多的生物識(shí)別技術(shù)也無法修復(fù)這些缺陷。沒有專斷的工程方法。沒有什么可以修復(fù)等待發(fā)生的軟件安全漏洞,這就是您的代碼庫。
也許,除了開源?;蛘撸_切地說,是一種開源方法。
從來沒有編寫過完全安全的軟件。無論如何,不是任何人實(shí)際使用的那種。
因此,當(dāng)Pushd的工程師本·切里(Ben Cherry)說所有軟件都有缺陷時(shí),我點(diǎn)頭表示同意:
可怕嗎?是的。但是標(biāo)準(zhǔn)的操作程序呢?也沒錯(cuò)。
多年來,開源世界一直標(biāo)榜自己是解決軟件漏洞的答案。按照這種思路,必須公開源代碼的開發(fā)人員——就像把內(nèi)衣穿在其他衣服上一樣——往往會(huì)編寫出更好的代碼。
這是一個(gè)很好的,直觀的想法。就目前而言,這是對(duì)的。
畢竟,多年來的研究表明,平均而言,開源軟件項(xiàng)目的缺陷要比其專有項(xiàng)目少得多。但是“少”并不等于“沒有”。
“沒有漏洞”也不是重點(diǎn)。
“沒有漏洞”不僅是一個(gè)不可能實(shí)現(xiàn)的目標(biāo),而且也沒有必要。如前所述,開源給安全性帶來的價(jià)值與初始代碼質(zhì)量關(guān)系不大,而與最終的解決方案處理關(guān)系很大。
考慮到所有軟件都存在安全漏洞,最好的軟件應(yīng)該是那些能夠讓感興趣的、有能力的開發(fā)人員組成的社區(qū)來修復(fù)它的軟件。
有時(shí)這種修復(fù)會(huì)在漏洞被利用之前出現(xiàn),但通常不會(huì)。很少有開發(fā)人員有時(shí)間或方法在發(fā)現(xiàn)這些bug之前發(fā)現(xiàn)其他人代碼中的缺陷。
不,唯一能找到這些漏洞的是那些寄生黑客,他們想把你的爛代碼變成爛錢。是的,你可能會(huì)做各種各樣的測試來首先找到缺陷,但是你會(huì)失敗。只是洞太多了??偸沁@樣。
與其假設(shè)原始代碼,不如假設(shè)有缺陷。有了這樣的假設(shè),當(dāng)您可以調(diào)用騎兵時(shí),幾乎總是更容易解決問題。
因此,雖然您可能有業(yè)務(wù)或其他原因來隱藏您的代碼,但安全性不應(yīng)該是其中之一。“通過隱藏實(shí)現(xiàn)安全”的方法從來沒有起過作用,也永遠(yuǎn)不會(huì)起作用。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。