甲骨文首席安全官發(fā)博批企業(yè)用戶用逆向工程尋漏洞

責(zé)任編輯:editor006

2015-08-12 16:08:27

摘自:cnBeta.COM

她寫道“大部分通過這些工具產(chǎn)生的報告有近乎100%的錯報率,盡量別浪費時間通過這些方法(逆向工程)來尋找漏洞”且有違背Oracle證書協(xié)議。她補充道與其搜尋隱蔽的0-day漏洞,不如保持其使用的軟件時時更新,打上安全補丁。

周一,甲骨文(Oracle)公司的首席安全官Mary Ann Davidson在其博客上發(fā)表了一篇頗具爭議的博文,題為《不,這樣不行(No,You Really Can't)》 。大致為批評使用甲骨文軟件的三方安全機構(gòu)和企業(yè)用戶通過逆向工程,來尋找甲骨文軟件中的未修復(fù)安全漏洞的行為,并稱其有違其軟件協(xié)議,如此方法生成的漏洞報告可靠性小且誤報率高。雖然這篇博文發(fā)布幾小時后即被撤下,但通過“時光機”Internet Archive可以看到曾經(jīng)發(fā)布的文章。甲骨文執(zhí)行副總裁及首席企業(yè)架構(gòu)師Edward Screven隨后稱“這篇博文不能代表我們對待客戶和合作的理念”已經(jīng)撤銷。此博文當(dāng)然也引起了許多三方安全廠商的不滿。

  文章副本鏈接

在文章中,首席安全官Davidson稱近來大量增加的遞交給Oracle公司的靜態(tài)分析安全報告,其中包含許多企業(yè)用戶雇傭第三方安全顧問或安全軟件(如 Veracode,Coverity),通過逆向工程來掃描其企業(yè)軟件的錯誤及潛在安全漏洞,Davidson稱這些測試相當(dāng)沒有必要,并且通常會指向根本不存在的漏洞或缺陷。

她寫道“大部分通過這些工具產(chǎn)生的報告有近乎100%的錯報率,盡量別浪費時間通過這些方法(逆向工程)來尋找漏洞”且有違背Oracle證書協(xié)議。

她補充道與其搜尋隱蔽的0-day漏洞,不如保持其使用的軟件時時更新,打上安全補丁。(這是最有爭議的部分)

她更指出,Oracle并不會像微軟或谷歌那樣提供漏洞懸賞計劃,這并不符合該公司的價值。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號