五、安全软件和服务并不安全?

　　在我们电脑出现病毒，或者我们希望电脑可以抵御未知的安全风险时，我们常常想到的就是安全软件和服务。这些产品和服务似乎让我们感觉自己得到了保护。然而，近日国外的一项调查报告却揭示，实际上，我们的安全软件和服务也并非是“安全”的!你愿意接受这个残酷的事实么?

　　近日Veracode发布的最新报告显示，测试的大部分安全软件和安全服务安全评分都“难以置信”的低，也就是所有商业软件中超过65%的安全软件服务安全状况并不理想。

　　Veracode公司最新发布的软件安全状态报告显示客户支持软件比安全产品以及服务更糟糕，其中82%的应用程序评分都非常低，而相对的，安全软件和安全服务软件则是72%。

　　Veracode扫描的所有商业软件中有66%的软件在第一次安全扫描中都得到了“无法令人接受”的低分，安全产品和服务软件的低分数是最令人震惊的。“这真的让我们很惊讶，”Veracode公司产品营销副总裁Sam King表示，该公司对超过4800个应用程序进行了扫描分析，“这也解释了最近在RSA、HBGary和Comodo发生的数据泄漏事故的原因，攻击者开始瞄准安全公司以及其他垂直行业，这里给我们的教训是：你无法想象的是，安全供应商可能都不安全。”

　　然而，商业软件供应商都能够较为迅速地修复他们的产品，超过90%的供应商在Veracode调查后的一个月内让他们的产品达到“可接受”的分数。并且安全供应商更加迅速，平均在三天内就让他们的应用程序达到可接受的安全状态，Veracode调查显示。

　　但是为什么安全供应商的软件在最初的扫描分析中安全状况如此之差呢?研究高级主管Chris Eng表示，问题在于安全供应商面临着与其他企业一样的挑战：拥有安全经验的开发人员并不多。“他们不一定具备安全专业知识，”他表示。在参加Veracode在线培训计划的安全基础知识考试中，超过50%的应用程序开发人员只拿到C或者更低的分数，而这个测试涵盖了常见威胁和其他安全基本概念。这个考试只是作为培训前的评估测试，超过30%的开发人员拿到D或者不及格，Veracode调查显示。

　　“他们对于应用程序安全基础知识并不是很了解，而这些知识能够帮助你更好地了解我们报道的其他统计数据，”King表示。

　　选择了Veracode公司的Java和.NET安全编码课程以及加密介绍课程的开发人员中，有35%到48%的开发人员得到C或者更低分数。“这些课程的及格率比应用程序安全基础知识的及格率要高一点点，所以这个消息很令人振奋：通过良好的培训与教育，他们能够有更好的表现，”King表示。

　　这次调查的其他发现：19个web应用程序中有超过8个应用程序存在OWASP前十大常见漏洞，跨站脚本攻击仍然是应用程序中最多的漏洞。SQL注入攻击漏洞平均每季度较低了约2.4%。

　　金融服务行业和软件业是最积极处理安全漏洞的行业，他们订购了第三方软件扫描来检查软件供应商的漏洞情况。报告中要求漏洞证明的企业中超过75%的企业是来自于金融行业和软件行业，而航空航天和国防行业也开始要求他们的软件供应商对他们的漏洞负责任。