Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1202848
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-15 16:19:25

今天chris eng在他的minimize attack surface part 2中提到了一些关于第三方代码安全的问题。

实际上这个也是我们头疼的问题,我想不光我们公司如此,基本上所有公司都会头疼这个问题。

很自然的回想起以前QQ的溢出,就是由于处理图片上调用的是第三方的开源代码,直接copy过来的,结果人家有个溢出,于是乎,QQ也被溢出了。

类似的问题还有暴风影音等诸多视频播放软件,集成了quicktime的播放插件;某一天,quicktime溢出漏洞被曝光,而这些视频软件的更新没有跟上,于是也跟着被溢出了。

其实从漏洞挖掘来说,去找一些第三方库的漏洞,是一个很不错的着手方向。比如去code project上一个个的翻那些比较容易被集成的,比如画图类,比如通信类等等。很多程序员都是直接从上面原封不动的copy代码回来的,那么,很可能就连漏洞也一起copy回来了。

前不久的debian平台上的openssl库的random feed漏洞,也是属于这一类库漏洞导致应用受到威胁;直接后果就是导致sshssl证书都处于风险中。

正如chris描述的,程序员往往不知道某个第三方API的具体实现过程,仅仅知道如何去调用;如果采用堵的方式,安全上的维护成本会越来越大。

从安全的角度来说,是应该要审核所有第三方代码的。在ali, 所有第三方写的代码或项目只有经过安全部门的审核才能上线。这样做也是希望可以尽可能的把不可控的风险降到最低。

阅读(1228) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~