IT業界資訊媒體

【搬字過app】直抄程式碼惹禍  Stack Overflow成重災區

外判服務已經係大趨勢,例如公司要寫個網站或手機應用軟件,好多時都唔會係自己員工寫,一來呢啲project 通常都係一次性,寫完就唔會長期養住呢個人;二來有啲外判商收取嘅費用真心平,老闆當然樂於採用。唔係話全部廉價服務都唔好,但中伏風險實在大得多,例如售後服務唔見影、網絡防禦方案原來唔安全等等,做開報價嘅同事應該深受其害。其實點解有啲程式撰寫外判商收嘅價錢可以咁平呢?最近由一班電腦專家進行嘅調查報告,應該會俾到啟示大家。

抄得就抄

由全球大學電腦專家Morteza Verdi、Ashkan Sami、Jafar Akhondali、Foutse Khomh、Gias Uddin 及 Alireza Karami Motlagh組成嘅研究團隊,早前就對 Over Stack 上 72,000 組 C++ 語言寫成嘅程式碼進行驗證,佢哋發現喺呢個程式碼討論區平台上嘅 Post,存在超過 69 個帶有漏洞嘅程式碼,同時間,呢啲程式碼亦存在喺 GitHub 嘅 2589 個計劃內,反映出唔少開發者其實都貪方便,無做任何驗證就直接將呢啲程式碼複製入自己嘅開發程式內,結果就導致自己開發嘅程式都有問題。

專家指出呢次調查唔係單一事件,佢哋重提一份喺 2017 年發表嘅學術論文,就發現咗 Stack Overflow 上出現嘅 1161 個有問題程式碼,竟然出現喺 130 萬個 Android 應用軟件內,可見抄襲問題非常厲重。業內人士亦透露,點解有啲外判開發商可以收取廉價開發費,好多時就係因為佢哋會上網左抄右抄,合成一隻符合客戶要求嘅應用軟件,但實際上入面存在住好多漏洞,完全唔顧及客戶嘅安全。

安全漏洞問題嚴重,但專家指出有回應修補漏洞嘅開發者,只係得 13%,其他人一係就無回應,一係就拒絕承認有漏洞,可見呢啲程式碼真係會害死人。不過,專家今次除咗指出問題,亦有考慮點樣幫助開發員,佢哋而家正喺度開發緊一個Chrome 瀏覽器嘅擴充套件,只要將想使用嘅程式碼放上去,就會自動幫你查證呢段程式碼有無被發現有漏洞,雖然唔係百分百安全,但都起碼可以減少用錯程式碼丫。擴充套件預計下個月推出,開發員要密切留意住喇。

資料來源:https://bit.ly/2VnHfc1

相關文章:【算多定算少?】調查:八份一開源組件含漏洞

 

Privacy Preference Center