周一,甲骨文(Oracle)公司的首席安全官Mary Ann Davidson在其博客上发表了一篇颇具争议的博文,题为《不,这样不行(No,You Really Can't)》 。大致为批评使用甲骨文软件的三方安全机构和企业用户通过逆向工程,来寻找甲骨文软件中的未修复安全漏洞的行为,并称其有违其软件协议,如此方法生成的漏洞报告可靠性小且误报率高。虽然这篇博文发布几小时后即被撤下,但通过“时光机”Internet Archive可以看到曾经发布的文章。甲骨文执行副总裁及首席企业架构师Edward Screven随后称“这篇博文不能代表我们对待客户和合作的理念”已经撤销。此博文当然也引起了许多三方安全厂商的不满。
在文章中,首席安全官Davidson称近来大量增加的递交给Oracle公司的静态分析安全报告,其中包含许多企业用户雇佣第三方安全顾问或安全软件(如 Veracode,Coverity),通过逆向工程来扫描其企业软件的错误及潜在安全漏洞,Davidson称这些测试相当没有必要,并且通常会指向根本不存在的漏洞或缺陷。
她写道“大部分通过这些工具产生的报告有近乎100%的错报率,尽量别浪费时间通过这些方法(逆向工程)来寻找漏洞”且有违背Oracle证书协议。
她补充道与其搜寻隐蔽的0-day漏洞,不如保持其使用的软件时时更新,打上安全补丁。(这是最有争议的部分)
她更指出,Oracle并不会像微软或谷歌那样提供漏洞悬赏计划,这并不符合该公司的价值。
未经允许不得转载:陈丹的博客 » 甲骨文首席安全官发博批企业用户用逆向工程寻漏洞