专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

新闻中心 人物观点
厂商专区 市场分析
行业
应用
政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
应用
分类
统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网

TOP

甲骨文首席安全官发博批企业用户用逆向工程寻漏洞
2015-08-12 17:59:43 来源:cnBeta.COM 作者:【
关键词:逆向工程 企业用户 错报率
 
周一,甲骨文(Oracle)公司的首席安全官Mary Ann Davidson在其博客上发表了一篇颇具争议的博文,题为《不,这样不行(No,You Really Can't)》 。大致为批评使用甲骨文软件的三方安全机构和企业用户通过逆向工程,来寻找甲骨文软件中的未修复安全漏洞的行为,并称其有违其软件协议,如此方法生成的漏洞报告可靠性小且误报率高。

  周一,甲骨文(Oracle)公司的首席安全官Mary Ann Davidson在其博客上发表了一篇颇具争议的博文,题为《不,这样不行(No,You Really Can't)》 。大致为批评使用甲骨文软件的三方安全机构和企业用户通过逆向工程,来寻找甲骨文软件中的未修复安全漏洞的行为,并称其有违其软件协议,如此方法生成的漏洞报告可靠性小且误报率高。虽然这篇博文发布几小时后即被撤下,但通过“时光机”Internet Archive可以看到曾经发布的文章。甲骨文执行副总裁及首席企业架构师Edward Screven随后称“这篇博文不能代表我们对待客户和合作的理念”已经撤销。此博文当然也引起了许多三方安全厂商的不满。

  文章副本链接

  在文章中,首席安全官Davidson称近来大量增加的递交给Oracle公司的静态分析安全报告,其中包含许多企业用户雇佣第三方安全顾问或安全软件(如 Veracode,Coverity),通过逆向工程来扫描其企业软件的错误及潜在安全漏洞,Davidson称这些测试相当没有必要,并且通常会指向根本不存在的漏洞或缺陷。

  她写道“大部分通过这些工具产生的报告有近乎100%的错报率,尽量别浪费时间通过这些方法(逆向工程)来寻找漏洞”且有违背Oracle证书协议。

  她补充道与其搜寻隐蔽的0-day漏洞,不如保持其使用的软件时时更新,打上安全补丁。(这是最有争议的部分)

  她更指出,Oracle并不会像微软或谷歌那样提供漏洞悬赏计划,这并不符合该公司的价值。

      

责任编辑:admin
免责声明:以上内容转载互联网平台或企业单位自行提供,对内容的真实性、准确性和合法性不负责,Voipchina网对此不承担任何法律责任。

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇前赴后继 又一家安全公司进入零日..
下一篇互联网“老窝”遭袭:ICANN现数据..

热门文章

图片主题

最新文章

相关文章

广告位

Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
联系方式:503927495@qq.com
  京ICP备05067673号-1 京公网安1101111101259