Oracle CSO：软件应该自我保护

甲骨文公司安全主任Mary Ann Davidson说，将来，应用软件应该保护它们自己不受攻击。

    今天上午在开放式的AusCERT 2007会议上，Davidson说，应用软件应该更像美国水兵一样。

    “每一个水兵打仗——不管你是正式的还是实习的，对每一个水兵来说，首要的任务就是成为一名真正的水兵，这就意味着他们应该学会如何保护他们自己。这是一种精神，我认为在这个新世界中我们确实需要这样的精神。

    “实际上，为什么我们需要所有的这些安全产品呢——这是因为软件不能自我保护。”Davidson说。

    Davidson也建议开发商尽可能的将他们解决bug的方法告诉大家，这样才能避免出现相同的bug.

    “也许你不能证明这个产品可以避免攻击，但是至少能证明你在开发中使用了这些工具——甚至能证明开发人员的水平，同时也能证明软件生命周期的类型。”Davidson说。

    对安全认识的不充足和代码的臃肿也是产生攻击的一个原因，但是“就安全方面来说，它需要产品知道如何保护它们自身的安全，因为产品知道它们自身希望达到什么样的安全效果。”她说。

    据Davisdon说，开发人员应该根据明确的目的创建代码，不需要考虑每一个未来的可能性。

    “开发人员是非常有创造性的，经常会考虑一些在未来世界中才会用到的方法……但是也正是因为允许了一些未来才可能发生的事件，所以才会导致他们受到更多的攻击。”她说。

    对黑客来说数据库就是“圣杯”

    在介绍Davidson上台之前，AusCERT总经理Graham Ingram指出了数据库软件安全的重要性。

    “我们所掌握的数据库，包括名字，地址和一些信用卡的资料，这些资料对于黑客们来说都是非常宝贵的，自然而然的，它们就成了黑客攻击的目标。

    “在很多情况下，我们不能不考虑数据库软件的安全性，也就是要考虑对圣杯的攻击。”Ingram说。