確保安全動(dòng)易斥資30萬元邀請安全組織審計(jì)源代碼
毫無疑問,對于擁有30萬用戶規(guī)模的動(dòng)易公司來說,軟件安全是一個(gè)關(guān)鍵而又影響極廣的問題,確保開源之后的動(dòng)易軟件安全,無論是對用戶還是對于動(dòng)易公司來說都至關(guān)重要。
在數(shù)月前,動(dòng)易公司就已經(jīng)和國內(nèi)安全服務(wù)組織BCT (Bug.Center.Team,漏洞預(yù)警中心小組)簽署合作協(xié)議,斥資30萬元邀請其為即將開源的動(dòng)易軟件源代碼全面進(jìn)行安全檢測,以確保開源后動(dòng)易產(chǎn)品的安全性,最大化保障用戶的利益。
眾所周知,安全性一直是開源軟件與閉源軟件間爭論的核心之一。一般來說,對于同一個(gè)軟件不開源比開源會(huì)顯得更加安全。一方面,對閉源軟件黑客不能直接獲得源碼而只能通過暗箱測試來尋找漏洞,大大增加了黑客進(jìn)行系統(tǒng)研究和利用漏洞攻擊的難度;而對于開源軟件,黑客則可以通過閱讀和研究源代碼直接尋找系統(tǒng)漏洞進(jìn)行攻擊。另一方面,一般人認(rèn)為,開源軟件在漏洞修復(fù)、安全更新方面會(huì)比閉源軟件更具優(yōu)勢,但實(shí)際情況卻并非如此。對于大部分的開源軟件來說,由于技術(shù)型用戶不多或軟件安全技術(shù)不強(qiáng)等原因,在漏洞修復(fù)方面往往仍主要依靠于軟件產(chǎn)商。而專業(yè)的黑客在發(fā)現(xiàn)軟件安全漏洞后,并不會(huì)無償提供給開源廠商或社區(qū),而是在小范圍流傳,甚至被一些不法分子利用于大范圍的系統(tǒng)攻擊以謀取暴利。在之前,由于動(dòng)易系統(tǒng)龐大的用戶量的關(guān)系,一個(gè)動(dòng)易系統(tǒng)的安全漏洞在圈子內(nèi)賣到了上萬元的價(jià)格,這就是一個(gè)最好的證明。動(dòng)易公司也曾高價(jià)向相關(guān)人員購買過漏洞,及時(shí)更新與發(fā)布程序補(bǔ)丁,以確保用戶網(wǎng)站的安全。
動(dòng)易在發(fā)展中一直視軟件安全為產(chǎn)品研發(fā)的重中之重,緊隨國內(nèi)外計(jì)算機(jī)技術(shù)發(fā)展步伐,在第一時(shí)間修復(fù)漏洞,不斷改善產(chǎn)品并發(fā)布安全公告。對商業(yè)用戶進(jìn)一步利用動(dòng)易短信通及時(shí)發(fā)送手機(jī)短信通知更新信息,以最大程度地保障用戶利益。
為了迎接即將到來的開源對軟件安全的挑戰(zhàn),動(dòng)易在數(shù)月之前便專門成立了小組對軟件源代碼開展自檢自查工作。同時(shí)為了避免因自身知識(shí)與視野的缺陷而發(fā)生安全檢查遺漏,動(dòng)易以積極的態(tài)度巨資邀請了國內(nèi)安全組織BCT對動(dòng)易軟件進(jìn)行全面的安全檢測工作,以進(jìn)一步確保開源后動(dòng)易軟件的安全性。根據(jù)合作協(xié)議,BCT將在動(dòng)易產(chǎn)品開源發(fā)布前完成動(dòng)易產(chǎn)品的全面安全檢測,并提供相應(yīng)的報(bào)告和解決方案,協(xié)助動(dòng)易對產(chǎn)品中存在的安全問題或隱患進(jìn)行及時(shí)和全面的處理;在動(dòng)易產(chǎn)品開源發(fā)布后,BCT將持續(xù)進(jìn)行產(chǎn)品安全跟蹤,第一時(shí)間將有關(guān)漏洞提交給動(dòng)易進(jìn)行修復(fù),以確保開源后數(shù)十萬動(dòng)易用戶的切身利益。動(dòng)易在確定了開源政策后并沒有立即開源,而是本著對用戶負(fù)責(zé)的態(tài)度做好相應(yīng)的準(zhǔn)備工作,相信這一舉措將有助于增強(qiáng)廣大動(dòng)易用戶對開源后動(dòng)易軟件的信心。
未來,動(dòng)易將一如既往地重視動(dòng)易開源軟件的安全性問題,與BCT保持長期良好的合作關(guān)系,繼續(xù)加大在軟件安全及檢測方面的投入。同時(shí),我們也非常希望眾多的技術(shù)愛好者們能積極地加入到動(dòng)易開源軟件的安全維護(hù)工作中來,協(xié)助社區(qū)發(fā)現(xiàn)并修補(bǔ)安全漏洞,共同維護(hù)廣大動(dòng)易用戶的切身利益。
動(dòng)易軟件科技有限公司
2007年11月21日
附:關(guān)于Bug.Center.Team
BCT又名漏洞預(yù)警中心小組,是國內(nèi)較早成立的以腳本安全為主要方向的網(wǎng)絡(luò)安全組織,致力于網(wǎng)絡(luò)和腳本安全問題的研究,在對于腳本程序的修補(bǔ)、維護(hù)、漏洞檢測都有專業(yè)水平,是國內(nèi)最專業(yè)、最有經(jīng)驗(yàn)的安全服務(wù)組織,有關(guān)Bug.Center.Team的詳情請參見:。
用戶登錄
還沒有賬號?
立即注冊