甲骨文公司安全主任Mary Ann Davidson说,将来,应用软件应该保护它们自己不受攻击。
今天上午在开放式的AusCERT 2007会议上,Davidson说,应用软件应该更像美国水兵一样。
“每一个水兵打仗——不管你是正式的还是实习的,对每一个水兵来说,首要的任务就是成为一名真正的水兵,这就意味着他们应该学会如何保护他们自己。这是一种精神,我认为在这个新世界中我们确实需要这样的精神。
“实际上,为什么我们需要所有的这些安全产品呢——这是因为软件不能自我保护。”Davidson说。
Davidson也建议开发商尽可能的将他们解决bug的方法告诉大家,这样才能避免出现相同的bug.
“也许你不能证实这个产品可以避免攻击,但是至少能证实你在开发中使用了这些工具——甚至能证实开发人员的水平,同时也能证实软件生命周期的类型。”Davidson说。
对安全熟悉的不充足和代码的臃肿也是产生攻击的一个原因,但是“就安全方面来说,它需要产品知道如何保护它们自身的安全,因为产品知道它们自身希望达到什么样的安全效果。”她说。
据Davisdon说,开发人员应该根据明确的目的创建代码,不需要考虑每一个未来的可能性。
“开发人员是非常有创造性的,经常会考虑一些在未来世界中才会用到的方法……但是也正是因为答应了一些未来才可能发生的事件,所以才会导致他们受到更多的攻击。”她说。
对黑客来说数据库就是“圣杯”
在介绍Davidson上台之前,AusCERT总经理Graham Ingram指出了数据库软件安全的重要性。
“我们所把握的数据库,包括名字,地址和一些信用卡的资料,这些资料对于黑客们来说都是非常宝贵的,自然而然的,它们就成了黑客攻击的目标。
“在很多情况下,我们不能不考虑数据库软件的安全性,也就是要考虑对圣杯的攻击。”Ingram说。
