Adobe系統(tǒng)公司（Adobe Reader和Flash Player制造商）產品安全和隱私高級主管Brad Arkin加入該公司不到兩年，在這段時間里，Adobe沒有遇到過零日攻擊事件。不幸的是，現在該公司越來越頻繁地遭受這種威脅。Arkin說，要用安全軟件開發(fā)生命周期來解決這個問題。

本月初，Adobe公司修復了Flash中的零日漏洞。而幾月前，Adobe才剛剛發(fā)布了緊急安全更新，修復其Reader和Acrobat應用程序的關鍵漏洞。

他說：“肯定有許多壞家伙靠攻擊軟件謀生。他們之前攻擊微軟，現在他們開始攻擊Adobe。我們現在肯定是他們的重點攻擊對象?！?/P>

上周，在關于保護軟件安全的(ISC)2會議上，Arkin談到了Adobe的安全挑戰(zhàn)和該公司的安全產品生命周期（SPLC）。

Arkin說，Adobe產品（如閱讀器）被廣泛使用、功能豐富、與許多平臺兼容，這使它成為罪犯的主要攻擊目標。

Adobe的SPLC，其中包括每件產品的80-point安全計劃、安全培訓和工程師認證，以及基于公司培訓計劃的安全文化。該公司在2009年初推出四級培訓方案，首先是電腦培訓，但要達到第三級（“棕帶”級）工程師必須創(chuàng)建一個項目，并用6個月的時間完成它，而第四級（ “黑帶”級）則要求協(xié)調棕帶級項目。

Arkin說Adobe在其安全軟件開發(fā)生命周期中使用許多靜態(tài)和動態(tài)分析工具，并且模糊測試非常有用。我們的目標是通過建立安全代碼，提前找到漏洞，但審查舊代碼也很重要，因為威脅總在不斷變化。

基于云的應用安全服務提供商Veracode公司的首席執(zhí)行官Matt Moynahan表示，Adobe、微軟和賽門鐵克所面臨的挑戰(zhàn)——還有其他廣泛部署的軟件供應商——是產品是在幾年前發(fā)布的，即在面臨現在的威脅攻擊之前，所以無法預料這些威脅。而且他們還要處理多種平臺和不能進行定期更新的環(huán)境。

【編輯推薦】

1. Adobe發(fā)布補丁修復下載管理器中安全漏洞
2. Adobe發(fā)布嚴重漏洞補丁計劃