网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

原标题：黑客攻击 因为代码重复太多？

　　为了抢占市场拼效率，程序员们都需要更快的速度编程才能满足需求，然而这样地追求高效可能会让程序员直接“抄袭”某些成熟的代码，这样做会带来隐患吗？

　　当程序员被人们唤作“程序猿”的时候，更多的含义是他们要面对的庞大工作量——几乎昼夜不停地写代码、编程序，才能满足用户们对于手机、电脑上各种应用程序的要求。

　　开发、编程，这个听起来高大上的专业领域，让门外汉们遥不可及。不过没关系，只要程序界面友好、安全就是普通用户最大的愿望。不过，如今“安全”的程序真的存在吗？

　　近日，一家软件安全公司的调查曝出，程序员的代码并非一个一个敲进去的，他们经常会免费地从论坛、搜索结果中“借鉴”别人的代码片段。这就会产生问题：他们没有仔细推敲过这些代码段的安全性。有专家认为，这种重复性的代码很可能被黑客利用，导致多个相似程序被攻击。

　　抄代码会留“后门”？

　　6月23日，美国的软件安全公司Veracode发布了一份关于客户软件使用习惯的报告，显示Veracode在对客户去年使用的超过20万款软件进行检测后发现了690万个缺陷问题。客户们修复了470万个缺陷。其中有一些是各公司的内部程序员自己编写的，但绝大部分问题代码来源于别的地方。也就是说，他们的代码是直接“抄袭”的。

　　Veracode报告认为客户中安全性最差的是政府部门，“原因是政府部门依然在使用过时的编程语言”。Veracode联合创始人Chris Wysopal表示，领着高薪水的程序员们工作的重点是效率和开发速度，绝不是安全性。

　　不过，另一家从事代码漏洞安全检测的公司Sonatype的CEO Joshua Corman则表示程序员喜欢Ctrl-C、Ctrl-V，这说明他们很懒吗？不，他们只是在有效率地工作。一些公司使用Veracode和Sonatype这样的服务来保证安全性，另一些则雇佣安全检测员，这些人的职责就是在代码中寻找漏洞。

　　在我国某大型搜索引擎公司工作的谭冰（化名）是众多程序员中的一名。他的工作就是每天要完成大量的程序编辑。“这种将别的网站上的代码直接拿来抄袭或者说复制粘贴的现象非常常见。因为不这样做就无法完成工作。”谭冰告诉《中国科学报》记者。

　　“利用开源代码，或者免费代码直接拷贝或引用的做法并不奇怪。这其中主要遵循的是软件工程的方法论，即代码复用。就是将已有软件的各种有关知识用于建立新的软件，以缩减软件开发和维护的花费。”华南师范大学计算机学院教授赵淦森在接受采访时说，“这样就提升了软件生产的效率。但是如果拷贝的代码根源出现了问题，那么设计出来的程序肯定也会存在问题。特别是如果问题出现在主结构，就会有很大影响。”

　　效率与安全能否兼得

　　然而，在实际的程序开发过程中，经常会出现与之前类似的内容，比如天气预报、交通状况等。“如果上个项目实现了这个功能，而另一个项目需要类似的功能，那么程序员就会选择直接应用之前的。”谭冰解释说，比如之前的程序语言是NET，新的程序可能要用JAVA编程，那么换一种编译就可以继续使用了，再比如，程序语言甚至都不用转换，直接将上一个的应用包拿来放在新程序中就大功告成了。

　　“在一个项目组中，往往只有一到两个人写框架，其他的十几个人就是写基本程序，那么将相似东西拿过来改一改就能用。”谭冰说，“但不要小瞧这项工作，因为要先看懂这个代码是不是自己想要的。如果想要完全自己重新编程，现在几乎没有了。”

　　“对于老板来说，写程序主框架的人是主力，下面的程序员则是‘流水的兵’。当上一个‘兵’走了以后，下一个接手的只需要将前人留下的程序直接用就可以了，不会影响下面的工作。”谭冰解释说。

　　在这个换人和抢占市场同样高速的年代，创业公司除了需要良好的创新思维，更需要的是高效的工作效率。

　　不知你是否注意过这个细节，每个使用智能手机并安装App的人，都接收过升级软件的要求，而且每隔一段时间就会有新的版本发布。如果点开仔细看看新版本的不同之处，往往是修复“XX bug（漏洞）”。

　　这是因为在很多IT公司中，他们编写的程序其实都存在漏洞，但为了抢占市场，根本来不及修复这些漏洞。“有些程序甚至存在上万个漏洞，但是也要推出去。”赵淦森说。之后的补救措施，就是不断发布新版本，修复之前的漏洞。

　　而在谭冰的公司，他们在争取效率与效益最大化的同时，开启了云服务和查杀毒功能，帮助完善那些在编程时可能留下的漏洞。

　　越多人“抄”越安全