漏洞出售中

2014年我们可以发现在所有的利用程序中都存在漏洞，Heartbleed心脏滴血漏洞和Shellshock都让系统管理者措手不及，开放原代码服务器利用程序也可能出现严重的安全漏洞。

事实上，要让软件完全没有漏洞是非常困难而且代价昂贵的，每千行程序代码中，你可以预期找出15到50个某种毛病。也许你可以取得真实的关键利用，但以这类方法下降毛病率会大大增加软件开发时间和金钱本钱。

虽然这样很耗费本钱，开发人员还是需要更好地去建立安全的产品。软件漏洞被发现和表露方式的改变，可能意味着用户由于漏洞所面临的风险会比以往还要大。

过去，有漏洞被发现后会反馈给开发人员，以便他们修复漏洞去尽量地保护更多的用户。但如今却有愈来愈多的漏洞被公司发现后其实不是反馈给开发人员，而是高价售出这1信息，致使开发人员没法修复他们的产品，用户也处于风险中。但是，安全社交网络中大多数人都还意识不到要挟，整体来讲网络是不太安全的。

1些国家的政府已在想法控制这些市场。去年，瓦圣纳协议（Wassenaar Arrangement）斟酌将漏洞攻击程序代码列入新的“入侵软件”领域，此协议所涵盖的项目被认为是“两重用处”（即军事和民间利用）。这意味着协议的41个成员国可能对这些项目进行出口管制。事实上，今年Pwn2Own的准出席者被要求与其律师确认他们是不是需要出口授权或政府是不是通知允许参加。

其实并不是只有把漏洞卖到公然市场这1种方法来获得报酬的，主要网站和厂商都提供漏洞奖金给在他们产品找出漏洞的研究人员。我们不能逼迫公司或个人停止买进或卖出漏洞，我们所能做的就是通过建立更加安全的产品，包括更少的漏洞及更好地解决问题的方案，让网络对每一个人来讲都更加安全。

转载请标明文章来源于趋势科技！