2014年我们可以发现在所有的应用程序中都存在漏洞,Heartbleed心脏滴血漏洞和Shellshock都让系统管理者措手不及,开放原代码服务器应用程序也可能出现严重的安全漏洞。
事实上,要让软件完全没有漏洞是非常困难而且代价昂贵的,每一千行程序代码中,你可以预期找出15到50个某种错误。或许你可以获得真正的关键应用,但以这种方法降低错误率会大大增加软件开发时间和金钱成本。
尽管这样很耗费成本,开发人员还是需要更好地去建立安全的产品。软件漏洞被发现和披露方式的改变,可能意味着用户因为漏洞所面临的风险会比以往还要大。
过去,有漏洞被发现后会反馈给开发人员,以便他们修复漏洞去尽可能地保护更多的用户。但如今却有越来越多的漏洞被公司发现后并不是反馈给开发人员,而是高价售出这一信息,导致开发人员无法修复他们的产品,用户也处于风险中。然而,安全社交网络中大多数人都还意识不到威胁,整体来说网络是不太安全的。
一些国家的政府已经在设法控制这些市场。去年,瓦圣纳协定(Wassenaar Arrangement)考虑将漏洞攻击程序代码列入新的“入侵软件”领域,此协议所涵盖的项目被认为是“双重用途”(即军事和民间应用)。这意味着协议的41个成员国可能对这些项目进行出口管制。事实上,今年Pwn2Own的准出席者被要求与其律师确认他们是否需要出口授权或政府是否通知允许参加。
其实并非只有把漏洞卖到公开市场这一种方法来获取报酬的,主要网站和厂商都提供漏洞奖金给在他们产品找出漏洞的研究人员。我们不能强迫公司或个人停止买进或卖出漏洞,我们所能做的就是通过建立更加安全的产品,包含更少的漏洞及更好地解决问题的方案,让网络对每个人来说都更加安全。
转载请标明文章来源于趋势科技!