中小型企業(yè)使用了很多第三方web應用程序：因為第三方應用程序能夠為他們節(jié)省開支，并且能夠允許他們嵌入他們不可能有的專業(yè)技術。但是同時，這也為他們的業(yè)務和消費者帶來安全隱患。

最近的Network Solutions事件表明這種做法有可能帶來非常嚴重的危害：十天前，互聯(lián)網域名供應商獲知一種存在于至少12萬個網頁中的網絡服務微件通過惡意軟件感染了大量訪問者。據(jù)稱，該公司下載了該微件（即Small Business Success Index）到第三方在線目錄WidgetBox。

隨著越來越多的企業(yè)開始在網站中使用第三方代碼，并且從其他網站導入內容，訪問者的安全性越來越依賴于其他網站。

“在過去五年中，web2.0已經風靡全球，”網絡掃描公司Dasient公司首席技術官Neil Daswani表示，“作為一名網絡管理員，你的安全實際上基本取決于一大堆第三方，所以你必須確保監(jiān)控所有代碼和微件?！?/P>

Network Solutions公司并不是在其網站無意地承載惡意代碼的唯一的互聯(lián)網公司，一年前，攻擊者冒充合法廣告商在紐約時報網站提交含有病毒的廣告，隨后通過這個流氓程序，該網站感染了大量訪問者（數(shù)目不詳）。其他網站（例如?？怂剐侣劇⑸虡I(yè)周刊等）也不得不面對類似問題。

在網站承載流氓程序對于企業(yè)的影響是非常巨大且長久的。如果谷歌標記某網站為惡意網站（因為包含流氓代碼），那么該網站的流量將下降95%之多，Daswani表示，“從我們從消費者收到的反饋來看，即使當這個問題解決后，網站從黑名單移除后，仍然會對流量產生巨大影響?！?/P>

解決這個問題并不容易，并沒有標準或者可接受的方法來證明代碼是否安全和可靠，代碼掃描公司Converity首席研究人員Andy Chou表示，“在其他行業(yè)，對于產品的某種質量測量都有相應的認證，”Chou表示，“在其他行業(yè)有很多方法來向消費者顯示他們購買產品的情況，而在軟件產業(yè)，并沒有類似的認證，用戶必須自己對代碼進行測試?！?/P>

安全專家建議，企業(yè)應該定期對程序進行掃描，檢查程序是否為惡意軟件或者木馬程序，開發(fā)人員可以使用靜態(tài)掃描儀來掃描源代碼，以查找安全漏洞。運行時掃描儀和防病毒掃描儀可以被用來檢測微件和程序在張貼到網站前的惡意活動。

然而，這些網站也應該經常進行檢查，網站掃描公司Armorize公司首席技術官Wayne Huang表示，“組合掃描是個很好的方法，”Huang表示，“源代碼掃描有其局限性，同時客戶類型網絡掃描也存在局限性，所以結合使用將最大限度確保安全。”

安全專家認為在大量網站發(fā)生類似事故之前，不會有太多網站定期對網站進行掃描。

“對于這個領域，人們才剛剛意識到，”Coverity公司的Chou表示，“從我們與軟件開發(fā)組織的合作經驗來看，所有這些開發(fā)阻止都有大量資源是由第三方來構建的，任何使用軟件的地方，都來自于不同的來源。”

【編輯推薦】

1. 研究人員致力于智能化Web應用程序安全掃描工具
2. Web應用程序構建后的一些必備安全措施