Adobe系统公司(Adobe Reader和Flash Player制造商)产品安全和隐私高级主管Brad Arkin加入该公司不到两年,在这段时间里,Adobe没有遇到过零日攻击事件。不幸的是,现在该公司越来越频繁地遭受这种威胁。Arkin说,要用安全软件开发生命周期来解决这个问题。
本月初,Adobe公司修复了Flash中的零日漏洞。而几月前,Adobe才刚刚发布了紧急安全更新,修复其Reader和Acrobat应用程序的关键漏洞。
他说:“肯定有许多坏家伙靠攻击软件谋生。他们之前攻击微软,现在他们开始攻击Adobe。我们现在肯定是他们的重点攻击对象。”
上周,在关于保护软件安全的(ISC)2会议上,Arkin谈到了Adobe的安全挑战和该公司的安全产品生命周期(SPLC)。
Arkin说,Adobe产品(如阅读器)被广泛使用、功能丰富、与许多平台兼容,这使它成为罪犯的主要攻击目标。
Adobe的SPLC,其中包括每件产品的80-point安全计划、安全培训和工程师认证,以及基于公司培训计划的安全文化。该公司在2009年初推出四级培训方案,首先是电脑培训,但要达到第三级(“棕带”级)工程师必须创建一个项目,并用6个月的时间完成它,而第四级( “黑带”级)则要求协调棕带级项目。
Arkin说Adobe在其安全软件开发生命周期中使用许多静态和动态分析工具,并且模糊测试非常有用。我们的目标是通过建立安全代码,提前找到漏洞,但审查旧代码也很重要,因为威胁总在不断变化。
基于云的应用安全服务提供商Veracode公司的首席执行官Matt Moynahan表示,Adobe、微软和赛门铁克所面临的挑战——还有其他广泛部署的软件供应商——是产品是在几年前发布的,即在面临现在的威胁攻击之前,所以无法预料这些威胁。而且他们还要处理多种平台和不能进行定期更新的环境。
【编辑推荐】
