网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

原標題：黑客攻擊 因為代碼重復太多？

　　為了搶佔市場拼效率，程序員們都需要更快的速度編程才能滿足需求，然而這樣地追求高效可能會讓程序員直接“抄襲”某些成熟的代碼，這樣做會帶來隱患嗎？

　　當程序員被人們喚作“程序猿”的時候，更多的含義是他們要面對的龐大工作量——幾乎晝夜不停地寫代碼、編程序，才能滿足用戶們對於手機、電腦上各種應用程序的要求。

　　開發、編程，這個聽起來高大上的專業領域，讓門外漢們遙不可及。不過沒關系，隻要程序界面友好、安全就是普通用戶最大的願望。不過，如今“安全”的程序真的存在嗎？

　　近日，一家軟件安全公司的調查曝出，程序員的代碼並非一個一個敲進去的，他們經常會免費地從論壇、搜索結果中“借鑒”別人的代碼片段。這就會產生問題：他們沒有仔細推敲過這些代碼段的安全性。有專家認為，這種重復性的代碼很可能被黑客利用，導致多個相似程序被攻擊。

　　抄代碼會留“后門”？

　　6月23日，美國的軟件安全公司Veracode發布了一份關於客戶軟件使用習慣的報告，顯示Veracode在對客戶去年使用的超過20萬款軟件進行檢測后發現了690萬個缺陷問題。客戶們修復了470萬個缺陷。其中有一些是各公司的內部程序員自己編寫的，但絕大部分問題代碼來源於別的地方。也就是說，他們的代碼是直接“抄襲”的。

　　Veracode報告認為客戶中安全性最差的是政府部門，“原因是政府部門依然在使用過時的編程語言”。Veracode聯合創始人Chris Wysopal表示，領著高薪水的程序員們工作的重點是效率和開發速度，絕不是安全性。

　　不過，另一家從事代碼漏洞安全檢測的公司Sonatype的CEO Joshua Corman則表示程序員喜歡Ctrl-C、Ctrl-V，這說明他們很懶嗎？不，他們只是在有效率地工作。一些公司使用Veracode和Sonatype這樣的服務來保証安全性，另一些則雇佣安全檢測員，這些人的職責就是在代碼中尋找漏洞。

　　在我國某大型搜索引擎公司工作的譚冰（化名）是眾多程序員中的一名。他的工作就是每天要完成大量的程序編輯。“這種將別的網站上的代碼直接拿來抄襲或者說復制粘貼的現象非常常見。因為不這樣做就無法完成工作。”譚冰告訴《中國科學報》記者。

　　“利用開源代碼，或者免費代碼直接拷貝或引用的做法並不奇怪。這其中主要遵循的是軟件工程的方法論，即代碼復用。就是將已有軟件的各種有關知識用於建立新的軟件，以縮減軟件開發和維護的花費。”華南師范大學計算機學院教授趙淦森在接受採訪時說，“這樣就提升了軟件生產的效率。但是如果拷貝的代碼根源出現了問題，那麼設計出來的程序肯定也會存在問題。特別是如果問題出現在主結構，就會有很大影響。”

　　效率與安全能否兼得

　　然而，在實際的程序開發過程中，經常會出現與之前類似的內容，比如天氣預報、交通狀況等。“如果上個項目實現了這個功能，而另一個項目需要類似的功能，那麼程序員就會選擇直接應用之前的。”譚冰解釋說，比如之前的程序語言是NET，新的程序可能要用JAVA編程，那麼換一種編譯就可以繼續使用了，再比如，程序語言甚至都不用轉換，直接將上一個的應用包拿來放在新程序中就大功告成了。

　　“在一個項目組中，往往隻有一到兩個人寫框架，其他的十幾個人就是寫基本程序，那麼將相似東西拿過來改一改就能用。”譚冰說，“但不要小瞧這項工作，因為要先看懂這個代碼是不是自己想要的。如果想要完全自己重新編程，現在幾乎沒有了。”

　　“對於老板來說，寫程序主框架的人是主力，下面的程序員則是‘流水的兵’。當上一個‘兵’走了以后，下一個接手的隻需要將前人留下的程序直接用就可以了，不會影響下面的工作。”譚冰解釋說。

　　在這個換人和搶佔市場同樣高速的年代，創業公司除了需要良好的創新思維，更需要的是高效的工作效率。

　　不知你是否注意過這個細節，每個使用智能手機並安裝App的人，都接收過升級軟件的要求，而且每隔一段時間就會有新的版本發布。如果點開仔細看看新版本的不同之處，往往是修復“XX bug（漏洞）”。

　　這是因為在很多IT公司中，他們編寫的程序其實都存在漏洞，但為了搶佔市場，根本來不及修復這些漏洞。“有些程序甚至存在上萬個漏洞，但是也要推出去。”趙淦森說。之后的補救措施，就是不斷發布新版本，修復之前的漏洞。

　　而在譚冰的公司，他們在爭取效率與效益最大化的同時，開啟了雲服務和查殺毒功能，幫助完善那些在編程時可能留下的漏洞。

　　越多人“抄”越安全