程序员\"偷懒\"给软件带来安全隐患

人们通常把黑客看做是技术非常高超的人，因为他们必须能够发现软件系统中的漏洞并利用它进行攻击，对吗?

专家表示，在一些复杂的黑客攻击案例中的确是这样的。但在很多其它黑客行为中并非如此。编写你使用的程序的程序员们并不会每一次都从头开始敲代码，他们经常会免费地从论坛、搜索结果中“借鉴”别人的代码片段。这就会产生问题：他们没有仔细推敲过这些代码段的安全性。

许多程序员与其被称为“程序设计师”倒不如“代码组装者”来的更贴切，专家估计在任何软件工程中都有80%到90%代码是从第三方复制而来的。有时候程序员干脆从别的公司购买代码包或者使用开源免费代码。这种问题影响到所有软件，不仅限于桌面程序，移动app和网站架构都难以幸免。倒是手机和电脑的操作系统的“原创度”很高。

软件安全公司Veracode联合创始人Chris Wysopal表示，领着高薪水的程序员们工作的重点是效率和开发速度，绝不是安全性。他的公司为公司评估软件的安全性，在周二他们发布了一份关于客户软件使用习惯的报告。

报告显示Veracode在对客户去年使用的超过200000款软件进行检测后发现了690万个缺陷问题。客户们修复了470万个缺陷。其中有一些是各公司的内部程序员自己编写的，但绝大部分问题代码来源于别的地方。

Wysopal说道：“尽可能多的重复使用代码是流行的趋势。”这样可以加快开发进程，让程序员们专注解决新问题而非一遍遍解决旧问题重新发明轮子。这些听起来都不错，除了安全隐患。

Veracode客户中安全性最差的是政府部门。报告称：“原因可能是政府部门依然在使用过时的编程语言。”有漏洞的源代码问题有多大呢?显然已经足以养活Veracode这样一个以检测代码为生的公司了。当然也有其它公司提供类似服务，这些公司给“匆匆忙忙”的程序员提供一些安全保障。

Sonatype是另一家从事代码漏洞安全检测的公司，CEO Joshua Corman表示程序员喜欢Ctrl-C、Ctrl-V，这说明他们很懒吗?不，他们只是在有效率地工作。一些公司使用Veracode和Sonatype这样的服务来保证安全性，另一些则雇佣安全检测员，这些人的职责就是在代码中寻找漏洞。Sonatype公司提供一些经过仔细检验的开源代码库，同时他们也致力于发现和消除漏洞。

软件开发的流程越来越短，程序员们引用的代码段只会越来越多。Wysopal表示：“新程序语言和新开发环境会出现，各公司都想尽快把软件推到市场，但追求效率不一定要牺牲安全性。”