2011年安全事件層出不窮，幾乎可以稱(chēng)為“黑客年”。以前黑客通常是利用程序漏洞來(lái)造成破壞，令網(wǎng)站陷入尷尬的境地，但如今他們卻是為了竊取數(shù)據(jù)、IP 地址，或者通過(guò)在網(wǎng)站中植入木馬將惡意軟件安裝到訪(fǎng)客的電腦里，更有甚者轉(zhuǎn)移賬戶(hù)、違反行業(yè)規(guī)定等等，因此應(yīng)用程序的安全顯得越來(lái)越重要。

安全漏洞 TOP5

據(jù)統(tǒng)計(jì)，10個(gè)程序中有 8 個(gè)以上在第一次測(cè)試時(shí)都不能通過(guò) OWASP（Open Web Application Security Project，開(kāi)放式 Web 應(yīng)用程序安全項(xiàng)目）的檢查，而且有一半的開(kāi)發(fā)者在基礎(chǔ)程序安全評(píng)估中都只能獲得C級(jí)甚至更低的評(píng)級(jí)。

下圖展示了排名前五位的安全漏洞。其中橙色表示受影響的 Web 應(yīng)用的比例，XSS 最高；藍(lán)色表示被黑客利用的比例，SQL 注入的比例最高。

編程語(yǔ)言中的安全漏洞

下圖展示了一些流行的編程語(yǔ)言中比例最高的 3 種安全漏洞。其中 XSS 的威脅依然很高，而信息泄露和加密問(wèn)題也不容忽視。

不同開(kāi)發(fā)模式的安全漏洞

下圖展示了各種開(kāi)發(fā)模式（內(nèi)部開(kāi)發(fā)、商業(yè)項(xiàng)目、開(kāi)源項(xiàng)目）所帶來(lái)的安全漏洞，其中 XSS 高居榜首。

首次提交 OWASP 測(cè)試的合格率

下圖展示了內(nèi)部項(xiàng)目、商業(yè)項(xiàng)目、開(kāi)源項(xiàng)目、外包項(xiàng)目、綜合開(kāi)發(fā)項(xiàng)目在首次提交 OWASP 測(cè)試的合格率，其中內(nèi)部項(xiàng)目最高，外包項(xiàng)目最低。

Android 應(yīng)用也不安全

Android 應(yīng)用的安全問(wèn)題主要有兩類(lèi)：一類(lèi)是加密問(wèn)題，另一類(lèi)是信息泄露問(wèn)題。加密問(wèn)題中 61% 是缺乏熵編碼的問(wèn)題，這通常是由于在 Java 程序中使用統(tǒng)計(jì) RNG 而不用加密 RNG 所致。而這些問(wèn)題用一行代碼就能修復(fù)。

修復(fù)安全問(wèn)題所需時(shí)間

其中外包項(xiàng)目中的安全問(wèn)題通常能在一周之內(nèi)修復(fù)，其次是開(kāi)源項(xiàng)目。而其他項(xiàng)目的修復(fù)周期相對(duì)來(lái)說(shuō)比較長(zhǎng)一些。

如何增強(qiáng)程序安全性？

• 及時(shí)更新軟件。自己編寫(xiě)安全的軟件或要求供應(yīng)商及時(shí)修復(fù)安全問(wèn)題。
• 不斷學(xué)習(xí)。自學(xué)鞏固程序安全基礎(chǔ)知識(shí)，參加培訓(xùn)班。
• 要求供應(yīng)商為其軟件提供安全保證。要求供應(yīng)商查看程序代碼，在合同里寫(xiě)入安全保證條款。

英文：Are You Practicing Safe Coding?

原文鏈接：http://www.iteye.com/news/24706

【編輯推薦】

1. 代碼注釋和格式化的10個(gè)最佳實(shí)踐
2. 告別無(wú)止境的增刪改查：Java代碼生成器
3. 推薦給JavaScript開(kāi)發(fā)人員的10個(gè)工具
4. 程序員漫畫(huà)四幅：要錢(qián)還是要命？
5. Java程序員應(yīng)該了解的10個(gè)面向?qū)ο笤O(shè)計(jì)原則