你的代码(软件)安全吗?

墙头草
 墙头草
发布于 2012年03月31日
收藏 23

2011年安全事件层出不穷,几乎可以称为“黑客年”。以前黑客通常是利用程序漏洞来造成破坏,令网站陷入尴尬的境地,但如今他们却是为了窃取 数据、IP 地址,或者通过在网站中植入木马将恶意软件安装到访客的电脑里,更有甚者转移账户、违反行业规定等等,因此应用程序的安全显得越来越重要。

安全漏洞 TOP5

据统计,10个程序中有 8 个以上在第一次测试时都不能通过 OWASP(Open Web Application Security Project,开放式 Web 应用程序安全项目)的检查,而且有一半的开发者在基础程序安全评估中都只能获得C级甚至更低的评级。

下图展示了排名前五位的安全漏洞。其中橙色表示受影响的 Web 应用的比例,XSS 最高;蓝色表示被黑客利用的比例,SQL 注入的比例最高。

编程语言中的安全漏洞

下图展示了一些流行的编程语言中比例最高的 3 种安全漏洞。其中 XSS 的威胁依然很高,而信息泄露和加密问题也不容忽视。

不同开发模式的安全漏洞

下图展示了各种开发模式(内部开发、商业项目、开源项目)所带来的安全漏洞,其中 XSS 高居榜首。

首次提交 OWASP 测试的合格率

下图展示了内部项目、商业项目、开源项目、外包项目、综合开发项目在首次提交 OWASP 测试的合格率,其中内部项目最高,外包项目最低。

Android 应用也不安全

Android 应用的安全问题主要有两类:一类是加密问题,另一类是信息泄露问题。加密问题中 61% 是缺乏熵编码的问题,这通常是由于在 Java 程序中使用统计 RNG 而不用加密 RNG 所致。而这些问题用一行代码就能修复。

修复安全问题所需时间

其中外包项目中的安全问题通常能在一周之内修复,其次是开源项目。而其他项目的修复周期相对来说比较长一些。

如何增强程序安全性?

  • 及时更新软件。自己编写安全的软件或要求供应商及时修复安全问题。
  • 不断学习。自学巩固程序安全基础知识,参加培训班。
  • 要求供应商为其软件提供安全保证。要求供应商查看程序代码,在合同里写入安全保证条款。
本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:你的代码(软件)安全吗?
资讯来源:伯乐在线
加载中

最新评论(7

outman
outman

引用来自“Lunar_Lin”的评论

引用来自“outman”的评论

C++亮了

注意, 那比例条的长度什么都不说明,C++最高的3条很短只说明C++的漏洞类型很平均. 栈溢出应该寿终正寝了. 优秀编译器编写的代码能自动阻止.
个人觉得XSS太混乱了,防不胜防,不过难以利用,破坏能力有限. 像SQL注入这种很容易防,但杀伤力很强的漏洞理应完全消灭. 当前关注点应该更在信息泄漏这种特殊的问题上.

其实我那句话只是无关痛痒的,但是你却说了这么一段深奥的话,虽然不知道在说什么,但是感觉很厉害的样子……
Lunar_Lin
Lunar_Lin

引用来自“outman”的评论

C++亮了

注意, 那比例条的长度什么都不说明,C++最高的3条很短只说明C++的漏洞类型很平均. 栈溢出应该寿终正寝了. 优秀编译器编写的代码能自动阻止.
个人觉得XSS太混乱了,防不胜防,不过难以利用,破坏能力有限. 像SQL注入这种很容易防,但杀伤力很强的漏洞理应完全消灭. 当前关注点应该更在信息泄漏这种特殊的问题上.
outman
outman
C++亮了
王鹏勇
王鹏勇
是的啊
王鹏勇
王鹏勇

引用来自“艾米.哈伯”的评论

没有绝对的安全,只有绝对的不安全

+1
蟋蟀哥哥
蟋蟀哥哥
OWASP的东西还是不错的
L5_Railgun
L5_Railgun
没有绝对的安全,只有绝对的不安全
返回顶部
顶部