1、求問軟體安全漏洞是如何產生的
當今軟體的安全性看起來越來越嚴重了,一方面黑客利用軟體漏洞引起的安全事件數量越來越呈上升趨勢,另一方面軟體公司推出的補丁數量也呈上升趨勢,盡管有些補丁是為加強軟體的功能而推出的,但大部分的補丁卻是針對軟體漏洞的。補丁,多麼恰當的稱呼!
雖然補丁的數量越來越多,但安全性卻沒有明顯的提高,主要原因如下:
一、有些軟體補丁並不是那邊容易就"補上去",即使能"補上去",但也不一定能補得天衣無縫;
二、對於軟體企業來說目前還缺乏探知軟體漏洞的工具,大部分的軟體漏洞都是由用戶或黑客發現的,等黑客發現之後可能危害就發生了,補丁也只起到亡羊補牢的作用;
三、用戶根本無暇安裝補丁,想一想對於一個企業用戶來說,使用著數量不菲的軟體,每一套都經常安裝補丁確實也不現實。
想必大部分的人都還記得紅代碼與尼姆達病毒造成的危害吧,其實針對此兩種病毒所利用的漏洞而開發的補丁早就在網上可任意下載了,可最終還是造成了很大的損失。
軟體安全漏洞引發危害,而針對軟體漏洞的補丁對提高安全性起的作用又不是很大,看來為了提高軟體的安全性和減少漏洞看來只有從軟體開發之初抓起。這時一個問題就出現了:?筆者認為軟體安全漏洞的產生根源在於軟體開發公司對待軟體開發的態度上,為了節約成本、迎合用戶及投資者以及為了在競爭中占盡先進,一心想著趕在約定的日期之前完成軟體開發,只要提供預定的功能即可,軟體安全性考慮的不多。按照業界的思維定勢,軟體安全性以後可以"藉助於補丁解決",但"功能要盡可能地多,因為功能特別是特色功能是賣點"。因此,軟體漏洞越來越多也是自然的事了。
這種現象據筆者的經驗是一個普遍的現象,大小軟體公司國內國外基本都是如此。對於軟體開發經理來說,產品上市時間是非常重要與關鍵的,有時甚至關繫到切身利益,大多數軟體開發經理都堅持"產品立即交貨遠勝於稍後交貨"。雖然每個人都明白"在三個月內交付讓用戶感到憤怒的產品,並不比在六個月內交付社用戶滿意的產品好",但是為了節約成本、出於同行競爭的形勢,有些時候也不得不把目標降低為 "只要能在電腦上正常運行"和"不會崩潰"。這兩個目標相對來說比較容易達到,編寫程序是花三個月還是花六個月,除了多費三個月的龐大編程成本外,僅就此這兩個目標而言其實質並無多大的區別。因此,軟體開發經理清楚他們要做的最重要的事是盡可能快地開始編程,並盡可能快地結束編程。如果把目標再加上"高安全性"這一條,情況就可能大不一樣了。
軟體開發經理之所以這樣做的原因有二,一是軟體推出時,用戶好象不太關心軟體的安全性而只關心軟體的功能;二是有些時候軟體開發經理對"最終成型軟體"到底是什麼樣子的也不是很清楚,這與我們日常生活習慣不同。我們日常生活大部分是重復性的勞動,有同樣的產品做參考,例如你請一個建築公司為你蓋房子、打造傢具,你會很容易地辯別出你的房子或傢具是否做好,因為有其它人家的傢具或房子作參考,在你的腦海里有"最終房子"與"最終傢具"的藍圖,稍一比較就知道了。可軟體開發是一種創造性的勞動,在"最終軟體"出台之前,誰也不知道"最終軟體"是什麼樣子的,包括軟體開發經理可能都不知道。因此軟體開發之初所確定的完工日期與"正常運行不公崩潰"就成了追求的目標,由上所述"正常運行不公崩潰"是比較容易達到的,因此"按期完工"就成了開發經理追求的唯一目標。
由此可知軟體安全漏洞的存在是由於在軟體開發的過程中對軟體安全性重視不夠、過度追求按期完工引起的。但是硬體業給我們提供了證明如下論斷正確性的例子:一般說來推遲交貨並不會使產品有致命的危險。三流的產品推遲交貨常常導致失敗,但是如果你的產品對用戶有價值,在期限之後到貨也並不會有必然的、持久的不良效果。
1990年GO公司曾把它的Penpoint電腦假想為手持電腦革命的鼻祖;到了1992年Penpoint垮掉時,蘋果公司的AppleNewton繼承了手持電腦革命的承諾;Newton的失敗刺激了人們,GeneralMagic公司的Magic Link電腦又成為手持設備的新希望,這已經是1994年。當MagicLink因銷售不佳而失敗後,手持設備市場幾近消亡。風險資本家聲稱它是一個填不滿的洞穴。然而,1996年,於無聲處聽驚雷,PalmPilot得到普遍的喝彩,它在六年後抓住了手持設備這個不容易聽話的市場。市場總是為好產品作好准備,給用戶送去稱心如意的、物有所值的產品才是正道。
為了提高軟體安全性減少軟體安全漏洞,筆者提出如下建議:
一、業界建立軟體安全性標准;
二、軟體開發組的目標加入安全性的項目;
三、軟體開發組在開發之前有明確的功能目標,且以功能與安全性做為評價軟體是否最終完成的標准,不能以功能換時間或者以時間換功能;
四、軟體評測組織的著眼點不能僅限於軟體功能,軟體安全性也要成為一項重要的測試指標。
這樣就會減少由於軟體安全漏洞帶來的危害。
2、手機應用軟體開發怎樣檢測安全漏洞
若需抄鑒定手機是否有病毒,三襲星手機一般建議進行以下步驟排查及處理:
1.部分手機支持智能管理器(內存管理器),可以通過其中的設備安全掃描設備,對設備內存進行檢測,查找設備是否存在威脅或有惡意軟體。
2.下載較安全的手機安防軟體掃描手機嘗試。
若手機檢測有病毒,建議:
1.備份重要數據(聯系人、照片、備忘錄等)恢復出廠設置。
2.若以上操作無效,請您攜帶購機發票、包修卡和機器送到服務中心檢查。
3、有誰知道apk漏洞檢測工具的?好不好用的,要有數據安全檢測這方面?
自動化App安全檢測平台,只需一鍵上傳APK就可完成安全漏洞檢測,檢測結果清晰、詳細、全面,並可一鍵生成報告,極大的提高了開發者的開發效率,有效幫助開發者了解App安全狀況,提高App安全性。
4、源代碼檢測軟體 漏洞多,開發怎麼辦
網頁鏈接
找八哥源代碼安全測試管理系統,是思客雲(北京專)軟體技術屬有限公司是基於多年源代碼安全實踐經驗自主研發的一套領先的源代碼安全漏洞檢測系統。該系統擁有強大的安全分析引擎,極為廣泛的安全漏洞檢測規則,以及針對我國特色的安全編碼特徵庫,能夠全面地對系統源代碼中所存在的安全漏洞,性能缺陷,編碼規范等9大類共1000多小類的問題進行綜合性分析。同時「找八哥」採用先進的「私有雲」+分布式集群的架構方式,WEB式用戶界面,使得系統部署極為簡單、方便;用戶操作極為靈活、高效。
5、軟體開發平台會不會有什麼漏洞?
軟體開發者開發軟體時的疏忽,或者是編程語言的局限性,比如c語言家族比java效率高回但漏洞也多,電腦系統幾答乎就是用c語言編的,所以常常要打補丁。 軟體漏洞有時是作者日後檢查的時候發現的,然後修正;還有一些人專門找別人的漏洞以從中做些非法的事,當作者知道自己的漏洞被他人利用的時候就會想辦法補救。
6、如何防控軟體開發預留後門或漏洞?
呵呵
這個問題其實很簡單啊
如果不是你做的軟體花錢做的軟體錢別一次性給完就行了
另外你們要簽訂協議合同,保證在使用過程中的安全
最後了在使用中出現問題由他們賠償就行了
7、找第三方開發標准軟體產品的風險有哪些
如果某個復庫文件存在漏制洞,那麼,大量使用了該庫文件的軟體程序都將面臨安全威脅。這種場景,在現實世界中已經有了血淋淋的證明:如OpenSSL中出現的心臟滴血漏洞(Heartbleed)、GNU Bash出現的破殼漏洞(Shellshock)和Java中的反序列化漏洞(Deserialization),這些都是實際應用程序中,存在第三方資源庫或應用框架漏洞的典型案例。
據Veracode的安全研究分析,97%的Java程序都至少存在1個已知的安全漏洞,高級研究主管Tim Jarrett說「出現這種問題的原因比較明確,而且不只局限於Java程序「。另外,據Gartner預測,到2020年,99%的可利用漏洞發現期限,將仍然是安全專業人士已知至少1年以上的,所以,建議企業必須盡快修復那些已知的存在漏洞。這些漏洞很容易被忽略,但與事後彌補相比,修復這些漏洞的代價更低,也更容易。
8、APP的安全漏洞怎麼檢測,有什麼工具可以進行檢測?
七個有代表性的免費APP應用安全測試工具:
1、OWASP Zed Attack Proxy (ZAP)
OWASP ZAP 是目前最流行的免費APP移動安全測試工具,由全球數百個志願者維護。該工具可以在APP的開發和測試階段自動查找安全漏洞。OWASP ZAP同時還是高水平滲透測試專家非常喜愛的手動安全測試工具。
2、QARK (Quick Android Review Kit)
QARK 是一種Android程序源代碼安全漏洞分析工具。該工具有自己的開發社區,任何人都可以免費使用。QARK還會嘗試提供提供動態生成的Android Debug Bridge(ADB)命令來幫助核實潛在漏洞。
3、Devknox
對於使用Android Studio開發Android應用程序的開發者來說,Devknox是此類移動安全檢測工具中的佼佼者,Devknox不但能檢測基本的移動安全問題,還能向開發者提供問題修復的實時建議。
4、Drozer
Drozer 是一個相當全面的Android安全與攻擊框架,這個移動app安全測試工具能夠通過進程間通訊機制(IPC)與其他Android應用和操作系統互動,這種互動機制使其有別於其他自動化掃描工具。
5、MobSF (Mobile Security Framework)
Mobile Security Framework 是一個自動化的移動app安全測試工具,支持Android和iOS雙平台,能夠進行靜態、動態分析以及web API測試。MobSF經常被用來對Android或iOS app進行快速安全分析,支持二進制(APK&IPA)形式以及源代碼的zip壓縮包。
6、Mitmproxy
Mitmproxy 是一個免費的開源工具,可以用於攔截、檢測、修改或延遲app與後端服務之間的通訊數據,該工具的名字也可以看出這是一種類似中間人攻擊的測試模式。當然,這也意味著該工具確實可以被黑客利用。
7、iMAS
iMAS 也是一個開源移動app安全測試工具,可以幫開發者在開發階段遵守安全開發規則,例如應用數據加密、密碼提示、預防應用程序篡改、在iOS設備中部署企業安全策略等。無論是檢查設備越獄,保護駐內存敏感信息還是防範二進制補丁,iMAS能為你的iOS程序在充滿敵意的環境中提供安全保障。
9、電腦程序,寫代碼的那種,開發軟體,看代碼,破解一些東西在大學叫什麼專業,還有查找網路漏洞的
軟體工程 計算機科學與技術 計算機系統維護技術,軟體程序員,密碼破解員,嘿客網路病毒