摘要:旨在促進(jìn)安全編碼��,但很明顯���,許多程序員發(fā)現(xiàn)它的過(guò)于復(fù)雜,文檔記錄不足���,運(yùn)行時(shí)系統(tǒng)的錯(cuò)誤報(bào)告令人困惑�����。研究人員指出這些糟糕的編碼實(shí)踐�,如果在生產(chǎn)代碼中使用,將嚴(yán)重?fù)p害軟件產(chǎn)品的安全性��。
對(duì)于程序員和軟件開發(fā)人員來(lái)說(shuō)�����,網(wǎng)絡(luò)論壇提供了一個(gè)交流知識(shí)和尋找具體編碼難題答案的好地方���。遺憾的是����,他們并不總是準(zhǔn)確信息的來(lái)源����。
弗吉尼亞理工大學(xué)的一組研究人員分析了數(shù)百篇關(guān)于Stack Overflow的文章,(Stack Overflow是一個(gè)很受歡迎的開發(fā)者論壇或者說(shuō)Q&A網(wǎng)站)發(fā)現(xiàn)許多提供答案的開發(fā)人員并沒有意識(shí)到編碼選項(xiàng)的安全含義��,并顯示出了缺乏網(wǎng)絡(luò)安全培訓(xùn)����。
他們發(fā)現(xiàn)的另一件事是,有時(shí)����,最熱門的帖子或答案包含了一些不安全的建議��,這些建議會(huì)在軟件中引入安全漏洞�����,而正確的修復(fù)程序不那么受歡迎���,也不容易看到,因?yàn)樗鼈兪怯脩籼峁┑?����,其信譽(yù)分?jǐn)?shù)較低�����。
因此����,提問(wèn)者和回答者之間的社會(huì)動(dòng)態(tài)肯定會(huì)對(duì)人們的安全選擇產(chǎn)生影響���。
獲得正確的安全性
研究人員集中研究與Java安全性相關(guān)的帖子�����,從軟件工程和安全角度考慮�,針對(duì)的是Spring Security的問(wèn)題上發(fā)表的文章,Spring Security是一個(gè)第三方Java框架��,為企業(yè)應(yīng)用程序提供身份驗(yàn)證��、授權(quán)和其他安全特性��。
Spring Security旨在促進(jìn)安全編碼�,但很明顯,許多程序員發(fā)現(xiàn)它的APIs過(guò)于復(fù)雜����,文檔記錄不足,運(yùn)行時(shí)系統(tǒng)的錯(cuò)誤報(bào)告令人困惑��。
“此外��,多語(yǔ)言支持獲取數(shù)據(jù)的能力相當(dāng)弱���。在安全應(yīng)用程序中����,多語(yǔ)言的情況是很常見的,因?yàn)橥ǔ?shù)據(jù)是用一種編程語(yǔ)言加密的(比如:Python)并在另一個(gè)編程語(yǔ)言解密(例如:Java)��。這些問(wèn)題會(huì)嚴(yán)重阻礙開發(fā)人員的生產(chǎn)力��?���!?/p>
開發(fā)人員在花太多時(shí)間解決APIs的正確用法時(shí)常感到沮喪,并且常常選擇了完全不安全的修補(bǔ)程序�����,比如使用過(guò)時(shí)的加密哈希函數(shù)�����,禁用了跨站點(diǎn)請(qǐng)求偽造保護(hù)�����,信任了HTTPS驗(yàn)證中的所有證書�,或者使用了過(guò)時(shí)的通信協(xié)議。
研究人員指出:“這些糟糕的編碼實(shí)踐��,如果在生產(chǎn)代碼中使用����,將嚴(yán)重?fù)p害軟件產(chǎn)品的安全性?���!?/p>
建議每個(gè)人都參與
“這項(xiàng)工作的意義在于,我們?yōu)榇罅苛钊藫?dān)憂的安全編碼問(wèn)題提供了經(jīng)驗(yàn)證據(jù)��,而這些問(wèn)題之前并沒有被報(bào)道過(guò)���。這些問(wèn)題是由于各種原因��,包括企業(yè)安全應(yīng)用的快速增長(zhǎng)���,軟件開發(fā)人員缺乏安全培訓(xùn),以及設(shè)計(jì)了糟糕的安全庫(kù)��,”研究人員指出����。
他們建議設(shè)計(jì)人員刪除或棄用弱安全性的APIs,設(shè)計(jì)簡(jiǎn)化的APIs����,并在默認(rèn)情況下實(shí)現(xiàn)強(qiáng)大的安全性防御���,并設(shè)計(jì)干凈且有幫助的錯(cuò)誤報(bào)告接口,其中還包括可能的根本原因和解決方案�。
另一方面,開發(fā)人員絕對(duì)應(yīng)該需要安全檢查���,并進(jìn)行安全測(cè)試��,以檢查實(shí)現(xiàn)的功能是否如預(yù)期的那樣工作����。在Stack Overflow和其他類似的社區(qū)網(wǎng)站和論壇上流行和接受的答案應(yīng)該像一粒鹽�����,如果可能的話�����,它們的準(zhǔn)確性應(yīng)該是獨(dú)立的���。
最近的相關(guān)研究顯示�����,排名靠前但不夠充分的編程Web教程也將漏洞引入了軟件�。
最后,工具生成器應(yīng)該考慮使它們能夠自動(dòng)診斷安全錯(cuò)誤��,并建議安全補(bǔ)丁或解決方案���。
“構(gòu)建漏洞防御技術(shù),比較同級(jí)應(yīng)用程序使用相同系列的APIs來(lái)推斷和警告潛在的錯(cuò)誤使用�。探索檢查和加強(qiáng)安全性相關(guān)注釋、代碼和配置之間的語(yǔ)義一致性的方法���。構(gòu)建新的方法來(lái)轉(zhuǎn)換聲明性安全性和編程式安全性的實(shí)現(xiàn)����,”研究人員總結(jié)道���。
小編總結(jié):當(dāng)程序員或者軟件開發(fā)者在編碼遇到難題時(shí)�,找網(wǎng)絡(luò)論壇���,或?qū)ご笊袂笾?��,或自己探索都是可行的��,但一定要意識(shí)到編碼選項(xiàng)的安全性��,選擇了錯(cuò)誤的編碼����,將嚴(yán)重影響企業(yè)軟件產(chǎn)品�����,因此����,安全編碼,人人有責(zé)�����。
本文由阿里聚安全編譯���,原文鏈接:https://www.helpnetsecurity.c...
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/67714.html
