漏洞出售中

2014年我們可以發現在所有的利用程序中都存在漏洞，Heartbleed心臟滴血漏洞和Shellshock都讓系統管理者措手不及，開放原代碼服務器利用程序也可能出現嚴重的安全漏洞。

事實上，要讓軟件完全沒有漏洞是非常困難而且代價昂貴的，每千行程序代碼中，你可以預期找出15到50個某種毛病。也許你可以取得真實的關鍵利用，但以這類方法下降毛病率會大大增加軟件開發時間和金錢本錢。

雖然這樣很耗費本錢，開發人員還是需要更好地去建立安全的產品。軟件漏洞被發現和表露方式的改變，可能意味著用戶由于漏洞所面臨的風險會比以往還要大。

過去，有漏洞被發現后會反饋給開發人員，以便他們修復漏洞去盡量地保護更多的用戶。但如今卻有愈來愈多的漏洞被公司發現后其實不是反饋給開發人員，而是高價售出這1信息，致使開發人員沒法修復他們的產品，用戶也處于風險中。但是，安全社交網絡中大多數人都還意識不到要挾，整體來講網絡是不太安全的。

1些國家的政府已在想法控制這些市場。去年，瓦圣納協議（Wassenaar Arrangement）斟酌將漏洞攻擊程序代碼列入新的“入侵軟件”領域，此協議所涵蓋的項目被認為是“兩重用處”（即軍事和民間利用）。這意味著協議的41個成員國可能對這些項目進行出口管制。事實上，今年Pwn2Own的準出席者被要求與其律師確認他們是不是需要出口授權或政府是不是通知允許參加。

其實并不是只有把漏洞賣到公然市場這1種方法來獲得報酬的，主要網站和廠商都提供漏洞獎金給在他們產品找出漏洞的研究人員。我們不能逼迫公司或個人停止買進或賣出漏洞，我們所能做的就是通過建立更加安全的產品，包括更少的漏洞及更好地解決問題的方案，讓網絡對每一個人來講都更加安全。

轉載請標明文章來源于趨勢科技！

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈