1、求问软件安全漏洞是如何产生的
当今软件的安全性看起来越来越严重了,一方面黑客利用软件漏洞引起的安全事件数量越来越呈上升趋势,另一方面软件公司推出的补丁数量也呈上升趋势,尽管有些补丁是为加强软件的功能而推出的,但大部分的补丁却是针对软件漏洞的。补丁,多么恰当的称呼!
虽然补丁的数量越来越多,但安全性却没有明显的提高,主要原因如下:
一、有些软件补丁并不是那边容易就"补上去",即使能"补上去",但也不一定能补得天衣无缝;
二、对于软件企业来说目前还缺乏探知软件漏洞的工具,大部分的软件漏洞都是由用户或黑客发现的,等黑客发现之后可能危害就发生了,补丁也只起到亡羊补牢的作用;
三、用户根本无暇安装补丁,想一想对于一个企业用户来说,使用着数量不菲的软件,每一套都经常安装补丁确实也不现实。
想必大部分的人都还记得红代码与尼姆达病毒造成的危害吧,其实针对此两种病毒所利用的漏洞而开发的补丁早就在网上可任意下载了,可最终还是造成了很大的损失。
软件安全漏洞引发危害,而针对软件漏洞的补丁对提高安全性起的作用又不是很大,看来为了提高软件的安全性和减少漏洞看来只有从软件开发之初抓起。这时一个问题就出现了:?笔者认为软件安全漏洞的产生根源在于软件开发公司对待软件开发的态度上,为了节约成本、迎合用户及投资者以及为了在竞争中占尽先进,一心想着赶在约定的日期之前完成软件开发,只要提供预定的功能即可,软件安全性考虑的不多。按照业界的思维定势,软件安全性以后可以"借助于补丁解决",但"功能要尽可能地多,因为功能特别是特色功能是卖点"。因此,软件漏洞越来越多也是自然的事了。
这种现象据笔者的经验是一个普遍的现象,大小软件公司国内国外基本都是如此。对于软件开发经理来说,产品上市时间是非常重要与关键的,有时甚至关系到切身利益,大多数软件开发经理都坚持"产品立即交货远胜于稍后交货"。虽然每个人都明白"在三个月内交付让用户感到愤怒的产品,并不比在六个月内交付社用户满意的产品好",但是为了节约成本、出于同行竞争的形势,有些时候也不得不把目标降低为 "只要能在电脑上正常运行"和"不会崩溃"。这两个目标相对来说比较容易达到,编写程序是花三个月还是花六个月,除了多费三个月的庞大编程成本外,仅就此这两个目标而言其实质并无多大的区别。因此,软件开发经理清楚他们要做的最重要的事是尽可能快地开始编程,并尽可能快地结束编程。如果把目标再加上"高安全性"这一条,情况就可能大不一样了。
软件开发经理之所以这样做的原因有二,一是软件推出时,用户好象不太关心软件的安全性而只关心软件的功能;二是有些时候软件开发经理对"最终成型软件"到底是什么样子的也不是很清楚,这与我们日常生活习惯不同。我们日常生活大部分是重复性的劳动,有同样的产品做参考,例如你请一个建筑公司为你盖房子、打造家具,你会很容易地辩别出你的房子或家具是否做好,因为有其它人家的家具或房子作参考,在你的脑海里有"最终房子"与"最终家具"的蓝图,稍一比较就知道了。可软件开发是一种创造性的劳动,在"最终软件"出台之前,谁也不知道"最终软件"是什么样子的,包括软件开发经理可能都不知道。因此软件开发之初所确定的完工日期与"正常运行不公崩溃"就成了追求的目标,由上所述"正常运行不公崩溃"是比较容易达到的,因此"按期完工"就成了开发经理追求的唯一目标。
由此可知软件安全漏洞的存在是由于在软件开发的过程中对软件安全性重视不够、过度追求按期完工引起的。但是硬件业给我们提供了证明如下论断正确性的例子:一般说来推迟交货并不会使产品有致命的危险。三流的产品推迟交货常常导致失败,但是如果你的产品对用户有价值,在期限之后到货也并不会有必然的、持久的不良效果。
1990年GO公司曾把它的Penpoint电脑假想为手持电脑革命的鼻祖;到了1992年Penpoint垮掉时,苹果公司的AppleNewton继承了手持电脑革命的承诺;Newton的失败刺激了人们,GeneralMagic公司的Magic Link电脑又成为手持设备的新希望,这已经是1994年。当MagicLink因销售不佳而失败后,手持设备市场几近消亡。风险资本家声称它是一个填不满的洞穴。然而,1996年,于无声处听惊雷,PalmPilot得到普遍的喝彩,它在六年后抓住了手持设备这个不容易听话的市场。市场总是为好产品作好准备,给用户送去称心如意的、物有所值的产品才是正道。
为了提高软件安全性减少软件安全漏洞,笔者提出如下建议:
一、业界建立软件安全性标准;
二、软件开发组的目标加入安全性的项目;
三、软件开发组在开发之前有明确的功能目标,且以功能与安全性做为评价软件是否最终完成的标准,不能以功能换时间或者以时间换功能;
四、软件评测组织的着眼点不能仅限于软件功能,软件安全性也要成为一项重要的测试指标。
这样就会减少由于软件安全漏洞带来的危害。
2、手机应用软件开发怎样检测安全漏洞
若需抄鉴定手机是否有病毒,三袭星手机一般建议进行以下步骤排查及处理:
1.部分手机支持智能管理器(内存管理器),可以通过其中的设备安全扫描设备,对设备内存进行检测,查找设备是否存在威胁或有恶意软件。
2.下载较安全的手机安防软件扫描手机尝试。
若手机检测有病毒,建议:
1.备份重要数据(联系人、照片、备忘录等)恢复出厂设置。
2.若以上操作无效,请您携带购机发票、包修卡和机器送到服务中心检查。
3、有谁知道apk漏洞检测工具的?好不好用的,要有数据安全检测这方面?
自动化App安全检测平台,只需一键上传APK就可完成安全漏洞检测,检测结果清晰、详细、全面,并可一键生成报告,极大的提高了开发者的开发效率,有效帮助开发者了解App安全状况,提高App安全性。
4、源代码检测软件 漏洞多,开发怎么办
网页链接
找八哥源代码安全测试管理系统,是思客云(北京专)软件技术属有限公司是基于多年源代码安全实践经验自主研发的一套领先的源代码安全漏洞检测系统。该系统拥有强大的安全分析引擎,极为广泛的安全漏洞检测规则,以及针对我国特色的安全编码特征库,能够全面地对系统源代码中所存在的安全漏洞,性能缺陷,编码规范等9大类共1000多小类的问题进行综合性分析。同时“找八哥”采用先进的“私有云”+分布式集群的架构方式,WEB式用户界面,使得系统部署极为简单、方便;用户操作极为灵活、高效。
5、软件开发平台会不会有什么漏洞?
软件开发者开发软件时的疏忽,或者是编程语言的局限性,比如c语言家族比java效率高回但漏洞也多,电脑系统几答乎就是用c语言编的,所以常常要打补丁。 软件漏洞有时是作者日后检查的时候发现的,然后修正;还有一些人专门找别人的漏洞以从中做些非法的事,当作者知道自己的漏洞被他人利用的时候就会想办法补救。
6、如何防控软件开发预留后门或漏洞?
呵呵
这个问题其实很简单啊
如果不是你做的软件花钱做的软件钱别一次性给完就行了
另外你们要签订协议合同,保证在使用过程中的安全
最后了在使用中出现问题由他们赔偿就行了
7、找第三方开发标准软件产品的风险有哪些
如果某个复库文件存在漏制洞,那么,大量使用了该库文件的软件程序都将面临安全威胁。这种场景,在现实世界中已经有了血淋淋的证明:如OpenSSL中出现的心脏滴血漏洞(Heartbleed)、GNU Bash出现的破壳漏洞(Shellshock)和Java中的反序列化漏洞(Deserialization),这些都是实际应用程序中,存在第三方资源库或应用框架漏洞的典型案例。
据Veracode的安全研究分析,97%的Java程序都至少存在1个已知的安全漏洞,高级研究主管Tim Jarrett说“出现这种问题的原因比较明确,而且不只局限于Java程序“。另外,据Gartner预测,到2020年,99%的可利用漏洞发现期限,将仍然是安全专业人士已知至少1年以上的,所以,建议企业必须尽快修复那些已知的存在漏洞。这些漏洞很容易被忽略,但与事后弥补相比,修复这些漏洞的代价更低,也更容易。
8、APP的安全漏洞怎么检测,有什么工具可以进行检测?
七个有代表性的免费APP应用安全测试工具:
1、OWASP Zed Attack Proxy (ZAP)
OWASP ZAP 是目前最流行的免费APP移动安全测试工具,由全球数百个志愿者维护。该工具可以在APP的开发和测试阶段自动查找安全漏洞。OWASP ZAP同时还是高水平渗透测试专家非常喜爱的手动安全测试工具。
2、QARK (Quick Android Review Kit)
QARK 是一种Android程序源代码安全漏洞分析工具。该工具有自己的开发社区,任何人都可以免费使用。QARK还会尝试提供提供动态生成的Android Debug Bridge(ADB)命令来帮助核实潜在漏洞。
3、Devknox
对于使用Android Studio开发Android应用程序的开发者来说,Devknox是此类移动安全检测工具中的佼佼者,Devknox不但能检测基本的移动安全问题,还能向开发者提供问题修复的实时建议。
4、Drozer
Drozer 是一个相当全面的Android安全与攻击框架,这个移动app安全测试工具能够通过进程间通讯机制(IPC)与其他Android应用和操作系统互动,这种互动机制使其有别于其他自动化扫描工具。
5、MobSF (Mobile Security Framework)
Mobile Security Framework 是一个自动化的移动app安全测试工具,支持Android和iOS双平台,能够进行静态、动态分析以及web API测试。MobSF经常被用来对Android或iOS app进行快速安全分析,支持二进制(APK&IPA)形式以及源代码的zip压缩包。
6、Mitmproxy
Mitmproxy 是一个免费的开源工具,可以用于拦截、检测、修改或延迟app与后端服务之间的通讯数据,该工具的名字也可以看出这是一种类似中间人攻击的测试模式。当然,这也意味着该工具确实可以被黑客利用。
7、iMAS
iMAS 也是一个开源移动app安全测试工具,可以帮开发者在开发阶段遵守安全开发规则,例如应用数据加密、密码提示、预防应用程序篡改、在iOS设备中部署企业安全策略等。无论是检查设备越狱,保护驻内存敏感信息还是防范二进制补丁,iMAS能为你的iOS程序在充满敌意的环境中提供安全保障。
9、电脑程序,写代码的那种,开发软件,看代码,破解一些东西在大学叫什么专业,还有查找网络漏洞的
软件工程 计算机科学与技术 计算机系统维护技术,软件程序员,密码破解员,嘿客网络病毒