甲骨文计划采用Fortify技术 可强化其产品安全性
12月21日国际报道 甲骨文将进一步使其缺陷检查过程自动化。最近,甲骨文产品的安全状况受到了安全研究人员的批评。
当地时间本周二,甲骨文和Fortify宣布,甲骨文已经开始利用Fortify的技术对其一些产品的源代码进行分析,查找其中可能的缺陷。
在接受采访时,甲骨文的安全事务总监戴维森说,采用Fortify的产品是我们采取的多种开发安全产品的措施之一,我们认为这是对我们已经采取措施的补充。
戴维森表示,前不久,甲骨文利用自己开发的工具查找代码中的常见缺陷和缓冲区溢出缺陷,但没有使用象Fortify的Source Code Analysis这样被广泛使用的工具。
他说,这将有助于更迅速地查找出缺陷。甲骨文采取的其它措施包括安全的编程标准、对员工进行安全方面的培训等。
Fortify的Source Code Analysis能够对源代码进行筛选,查找可能的缺陷。据戴维森称,它能够发现65种类型的缺陷,能够在服务器和台式机上运行。
Fortify的首席执行官杰克说,它有助于甲骨文等公司在整个开发过程中查找和修正错误。
甲骨文的安全行为一直受到了广泛批评。安全研究人员已经谴责甲骨文修正安全缺陷过迟、发布的补丁软件存在缺陷或没有能够修正缺陷。
安全研究人员戴维认为甲骨文采用Fortify 的技术是在“正确的方向上迈出的一大步”,但他警告称,Fortify的技术并非“包治百病”。
他说,最好的行为是编写安全的代码,源代码扫描工具只是最后一道防线,而不是懒惰和编写不安全代码的借口。
戴维森表示,甲骨文已经在其数据库软件、应用服务器软件、Collaboration Suite、Enterprise Manager的开发中使用Fortify的技术,但甲骨文不会在企业软件产品的开发中使用Fortify的技术。
他说,我们没有许可将它用于应用软件中。目前,这样做还没有确切的好处,是否使用它取决于我们的代码有多少是使用某一特定语言开发的,Fortify的技术如何。
相关文章
- 步微软、甲骨文后尘 Adobe也将定期发布产品补丁
- 目标转换 思科路由器等非PC设备成为黑客攻击重点
- Oracle数据库加密系统曝出漏洞 几分钟即可被破解
- 甲骨文数据库系统存在漏洞 攻击者可轻易盗取口令
- 甲骨文发布季度补丁包 可以修补全线产品88个漏洞