Adobe系統(tǒng)公司（Adobe Reader和Flash Player制造商）產(chǎn)品安全和隱私高級(jí)主管Brad Arkin加入該公司不到兩年，在這段時(shí)間里，Adobe沒有遇到過零日攻擊事件。不幸的是，現(xiàn)在該公司越來越頻繁地遭受這種威脅。Arkin說，要用安全軟件開發(fā)生命周期來解決這個(gè)問題。

本月初，Adobe公司修復(fù)了Flash中的零日漏洞。而幾月前，Adobe才剛剛發(fā)布了緊急安全更新，修復(fù)其Reader和Acrobat應(yīng)用程序的關(guān)鍵漏洞。

他說：“肯定有許多壞家伙靠攻擊軟件謀生。他們之前攻擊微軟，現(xiàn)在他們開始攻擊Adobe。我們現(xiàn)在肯定是他們的重點(diǎn)攻擊對(duì)象?！?/P>

上周，在關(guān)于保護(hù)軟件安全的(ISC)2會(huì)議上，Arkin談到了Adobe的安全挑戰(zhàn)和該公司的安全產(chǎn)品生命周期（SPLC）。

Arkin說，Adobe產(chǎn)品（如閱讀器）被廣泛使用、功能豐富、與許多平臺(tái)兼容，這使它成為罪犯的主要攻擊目標(biāo)。

Adobe的SPLC，其中包括每件產(chǎn)品的80-point安全計(jì)劃、安全培訓(xùn)和工程師認(rèn)證，以及基于公司培訓(xùn)計(jì)劃的安全文化。該公司在2009年初推出四級(jí)培訓(xùn)方案，首先是電腦培訓(xùn)，但要達(dá)到第三級(jí)（“棕帶”級(jí)）工程師必須創(chuàng)建一個(gè)項(xiàng)目，并用6個(gè)月的時(shí)間完成它，而第四級(jí)（ “黑帶”級(jí)）則要求協(xié)調(diào)棕帶級(jí)項(xiàng)目。

Arkin說Adobe在其安全軟件開發(fā)生命周期中使用許多靜態(tài)和動(dòng)態(tài)分析工具，并且模糊測(cè)試非常有用。我們的目標(biāo)是通過建立安全代碼，提前找到漏洞，但審查舊代碼也很重要，因?yàn)橥{總在不斷變化。

基于云的應(yīng)用安全服務(wù)提供商Veracode公司的首席執(zhí)行官M(fèi)att Moynahan表示，Adobe、微軟和賽門鐵克所面臨的挑戰(zhàn)——還有其他廣泛部署的軟件供應(yīng)商——是產(chǎn)品是在幾年前發(fā)布的，即在面臨現(xiàn)在的威脅攻擊之前，所以無法預(yù)料這些威脅。而且他們還要處理多種平臺(tái)和不能進(jìn)行定期更新的環(huán)境。

【編輯推薦】

1. Adobe發(fā)布補(bǔ)丁修復(fù)下載管理器中安全漏洞
2. Adobe發(fā)布嚴(yán)重漏洞補(bǔ)丁計(jì)劃