论坛: 菜鸟乐园 标题: 安全漏洞频出程序检查工具助软件百毒不侵? 复制本贴地址    
作者: a_one [a_one]    论坛用户   登录


6月1 日专稿(文/Robert Lemos):在对付Windows 操作系统当中各种漏洞时,微软找上了Intrinsa的静态源代码检查(static source code checkers )技术。




Intrinsa的PREFix可以对源代码进行分析,并标示出潜在的错误。微软认为这类型的程序非常有帮助,甚至在1999年的时候以6000万美元买下Intrinsa。



在今天的市场上,也出现了许多类似的产品,希望博得软件厂商青睐,采用检查技术作为找出程序安全漏洞的工具。



微软已经将检查工具,整合到信赖运算的计划当中。信赖运算是以提供更可靠的微软电脑为目标。微软的信息安全程序经理Michael Howard表示,微软每年对2 万名程序人员,提供更安全的程序开发训练,但是检查工具还可以在每日的例行运作,加强信息安全的实作。



Howard指出,“我们已经看不到和5 年前一样的安全问题。”“我们进行教育训练,让程序开发人员了解安全问题,检查工具也比以前好得多。现在程序开发人员第一次写出的程序,就比以前更好。”



市场上有许多公司,也开始销售微软所采用的静态源代码检查工具。源代码检查工具原本是以学术上的用途为主,不过检查工具厂商认为,现在已经到了把检查工具商业化的时机。此外,企业的首席信息官对于层出不穷的安全漏洞也开始失去耐性,许多首席信息官已经准备开始接受新的技术。



最近这几个月,因为Business Roundtable 严厉批评软件厂商无法提供可靠产品的状况,所以程序开发人员也再次成为关注的焦点。不管是电子商务、连结合作伙伴、或者光只是寄送电子邮件,现今的企业极度依赖互联网的存在。可是根据CERT回应中心的统计,过去两年来,软件产品每年都出现将近4000个漏洞。由美国大企业150 位高端主管所组成的Business Roundtable ,在四页的“未来架构”报告当中指出,“大多数影响到美国企业和消费者的重大攻击,原因都出在软件源代码当中的漏洞。”“今天大多数软件厂商的开发流程,都没有经过足够的测试、检查和安全防护,对可能的漏洞进行防治。”



因为Windows 操作系统当中的漏洞,美国企业对微软的不满,远比其他公司来得高。虽然大家不见得会认同微软在根绝程序漏洞上已经有所成功,但是只有少数人会质疑微软将重点放在信息安全并借着各种工具对付安全漏洞的努力。



Sanctum 的首席技术官Steve Orrin 表示,“Bill Gates说的对,即使许多人对微软的安全性大加抨击,但这却是每个人都得正视的问题。”“过去没有人要求品质管制(QA)得考虑安全问题,现在这却是时时刻刻得堤防的事。”



Sanctum 是提供网页应用程序漏洞检查工具的厂商。不过Sanctum 原本所提供的产品,却只是阻挡黑客攻击网页服务器的工具。Sanctum发现程序开发人员对稽查信息安全的功能有很大兴趣,于是决定转向这个市场进行发展。许多厂商希望可以仔细检查公司内部的应用程序,不过大部分的厂商更希望检查自己所开发的软件,或是外部合作伙伴所开发的软件。Orrin 表示,“我们公司的策略,在过去一年转向软件开发,我们很惊讶看到软件开发上所出现的改变。”



分析工具厂商Fortify Software的创始人暨营销副总Mike Armistead表示,依赖互联网的企业,已经没办法再忍受漏洞充斥的软件。“所有人都彼此相连,生产力因此大幅增长,但是没有人想到这样会将自己曝露在许多外界的连结当中。”



虽然今天的程序开发人员,都对软件的漏洞进行测试,但是这些测试大多是针对软件是否可以正常运作,而不会注意是否有不正常动作造成软件的问题。



根据Armistead 表示,软件开发人员会说,“我不准备抓出所有的问题,因为依照业界的惯例,出货之后才让人家来告诉我有什么问题,这是可以接受的。”



此外也不是所有的安全人员在找到问题时都会挺身而出。许多安全专家反而认为,程序开发人员对于她们没有找出的问题得负法律上的责任,一旦有工具可以检查错误,这样的想法将会更明显。这也是为什么自动检查错误的新产品开始加速进展。举例来说,专注于信息安全服务的@Stake,现在就开始销售扫描二元码的软件安全测试工具。另一家公司Reflective也采用不同的分析技术,扫描漏洞。



维吉尼亚大学电脑系的助理教授David Evans 表示,“一段时间以后,你希望每个人在编译器当中都采用这些工具。” Evans开发了Reflective一部分的程序分析技术。“在业界还有人写出会有缓冲区溢位漏洞的程序,实在令人很难堪。”



缓冲区溢位让网络黑客得以在受害者的电脑上,执行恶意程序。 MSBlast和Sasser蠕虫,都利用了微软Windows 系统当中缓冲区溢位的漏洞。不过缓冲区溢位根本不是新的安全问题,安全研究人员在30年以前,就已经知道缓冲区溢位的存在。



尽管源代码分析工具可能有助于解决安全问题,但是并不是所有人都相信,这个技术已经到了可以应用到现实世界的程度。



安全软件厂商Immunity的创始人暨主任安全研究人员Dace Aitel表示,他不相信现行产品可以解决问题,因为目前的检查工具误判率太高,而误判的结果会让程序开发人员花太多时间进行验证,反而影响到生产力。



Aitel 表示,“如果分析工具找出500 个问题,你就得检查500 的地方并进行修正。误判影响了分析工具的实用价值。”“也许这个工具经过三个世代的发展以后,可以符合检查大型程序的经济效益。”



不过Aitel 也认识到必须要有这样的工具。



“如果你看一下大部分的源代码,你会发现到处都是简单的漏洞。”“大部分的漏洞,都是因为软件大厂完全没有进行检查。”“一个可以检查3000万行程序,然后找出明显漏洞的工具,一定有很大的市场。”



另外一位支持源代码检查工具的史丹福大学电脑系教授 Dawson Engler,也认为检查工具目前所能找出的漏洞,已经让检查工具有其存在价值。



Engler在检查工具的领域多有着述,Engler表示“我认为我们会越来越好,找出越来越多的漏洞。”Engler和几个研究生成立了Coverity,销售源代码分析工具。



另一家公司Ounce Labs在推出产品的同时,则对程序开发人员添加了更大的压力。Ounce Labs打算在6 月的时候,发布源代码分析工具。Ounce Labs在上星期二宣布,Ounce Labs已经完成了一份合同备忘录的样板,要求软件厂商必须负责产品的信息安全。Ounce Labs的首席执行官Jack Danahy 认为,如果在合同当中加入负责与保证的字眼,程序开发人员将会更主动地检查软件当中的漏洞。提供检查工具的厂商也可拥有更多的客户。



Danahy表示,“如果软件厂商不能保证你的软件足够安全,我就不用接受你的软件。”“信息安全已经是软件的必备条件。”


地主 发表时间: 04-06-10 16:04

回复: xjliuwei [xjliuwei]   论坛用户   登录
看了

B1层 发表时间: 04-06-10 18:39

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号