|
:黑客攻击开发中的应用程序渐成趋势,Fortify 提供应对方案,关注指数:中
新闻:周四,一种称为“Cross-Build Injection”的新攻击悄然出现在开发业界,这种攻击与以往攻击者在已发布的应用程序中使用各种方法查找漏洞并进行攻击不同,攻击者利用各种途径,比如提供带后门的编译组件或编译脚本,或进行过恶意代码插入的源程序,当用户或二次开发者使用这些修改过的代码和组件时,将存在巨大的潜在风险。代码安全厂商Fortify已经发布了一份指导,指导开发厂商如何避免这类攻击。
笔者观点:Cross-Build Injection这种基于源代码的攻击最早曾出现先2002年,当时OpenSSH和Sendmail的源代码曾被黑客恶意修改,并加入后门代码。但当时因为受影响的软件都是用户众多的开源软件,所以黑客的行为很快被发现并解除威胁。笔者认为,Cross-Build Injection这种攻击将以两种方式影响用户:其一因为企业中使用开源软件的比重日益增多,如果从不可信或被黑客侵入过的来源获得源代码并自 页码:[1] [2] [3] [4] [5] [6] 第4页、共6页 |
