您的位置: 网界网 > 周报全文 > 正文

[周报全文]企业自产软件多半不安全

2011年01月17日 15:06:24 | 作者:Jon Oltsik | 来源:网界网 | 查看本文手机版

摘要:有研究机构询问了100位安全专家,让他们指出网络安全链条中最薄弱的环节,结果大多数人都认为是软件漏洞。

标签
不安全
企业资产软件

Jon Oltsik

美《Network World》专栏作家

【CNW.com.cn 专稿】有研究机构询问了100位安全专家,让他们指出网络安全链条中最薄弱的环节,结果大多数人都认为是软件漏洞。这在以下两个领域尤其正确:1)企业内部开发的软件,开发人员缺少编写安全代码的技巧或动机;2)快速开发的Web应用可能引起安全隐忧。

那么今天的Web应用到底有多薄弱?这里引用IBM X-Force在其《2008年的趋势与风险报告》中对此问题的回答是:“Web应用一般来说,已成为企业IT安全的阿基里斯之踵。2008年,影响Web应用的漏洞约有55%,这一数字还没有包括用户自行开发的应用。2008年,所有已披露的Web应用漏洞的74%直到该年底都没有可用的补丁修复之。”

ESG在其最新发布的报告《评估美国关键基础设施中网络供应链的安全漏洞》中更进一步指出了软件安全方面的弱点。当研究人员询问在一些关键性基础设施机构工作的安全专家如下问题时:“就你所知,你的机构所经历的严重安全事故中,是否有直接和内部开发的软件相关联的?”令人担忧的是,有30%的专家回答“有”。

这一切意味着什么?IBM X-Force的数据清楚地说明,有大量不安全的Web应用在市场上泛滥。ESG的数据表明,很多关键性基础设施机构不仅在编写不安全的代码,而且还遭受过此类安全漏洞的危害!

不安全的软件往往会成为一个被人忽视的问题,因为用策略威胁工具Du Jour不太容易发现并解决。的确,软件安全需要新的技巧,以及处理流程上的转变,否则我们就会始终被漏洞所困扰。假如企业的数据某一天走了光,不安全的软件很可能就是罪魁祸首。(更多内容详见: http://www.cnw.com.cn/P/3190)

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]