您的位置: 网界网 > 周报全文 > 正文

[周报全文]未雨绸缪胜于亡羊补牢 软件脆弱性研究不容忽视

2007年06月11日 14:42:09 | 作者:网界网 蒙克 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:近日,在Gartner举办的IT安全峰会上,专注于软件脆弱性研究的专家们指出,无论是自行开发的软件还是供应商提供的软件,在应用之前测试其安全漏洞都应成为企业最优先考虑的事情。

标签
脆弱性
安全漏洞
 

【CNW.com.cn 资讯】近日,在Gartner举办的IT安全峰会上,专注于软件脆弱性研究的专家们指出,无论是自行开发的软件还是供应商提供的软件,在应用之前测试其安全漏洞都应成为企业最优先考虑的事情:这样做的好处是可以避免在软件实际应用之后因受攻击可能遭受的损害。

应用软件安全研究公司 Matasano Security的创立者Thomas Ptacek表示,软件脆弱性研究指的是在软件应用之前对漏洞进行分析,采用的手段如反向工程和源代码审计。他说,企业可以自己组建测试队伍,也可以借助第三方专业公司完成此项任务。

“如果你自己不去发现这些问题,其他人就会发现。”另一位专家表示: “对于自行开发的软件,脆弱性测试应该成为软件开发生命周期的一部分。”专家们说,仅仅使用扫描工具检测软件脆弱性还远远不够。但Gartner通过对1000名与会者的调查表明,大多数企业对软件的测试都仅限于使用商业扫描工具。Gartner 分析师Mogull表示,企业不愿对脆弱性进行深入检测的一个原因是专业的工具和懂行的专家甚少。也有专家不赞同这种说法,理由是一些专业工具在互联网上就可以找到。还有一位与会专家表示,企业为检测软件脆弱性采取的任何举动都是值得的。他说:“即使你没发现漏洞也不等于浪费了金钱。”

但无论如何(+本站微信networkworldweixin),软件脆弱性研究将是一项耗钱耗力的举措。Mogull说,企业不可能对每一个应用软件都进行检测。毕竟,软件不像波音飞机,出了漏洞就会置人于死地。会议现场调查显示,大多数企业并没有对购买的商业软件进行测试。专家们还表示,在软件开发生命周期中,至少应该有5%10%的人力物力用在脆弱性研究上,有人甚至称应该占到总费用的25%。因为,“在软件应用之前投入费用预防漏洞,比在事后花钱修补它要划算得多。”

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]