中小型企業(yè)使用了很多第三方web應(yīng)用程序：因為第三方應(yīng)用程序能夠為他們節(jié)省開支，并且能夠允許他們嵌入他們不可能有的專業(yè)技術(shù)。但是同時，這也為他們的業(yè)務(wù)和消費者帶來安全隱患。

最近的Network Solutions事件表明這種做法有可能帶來非常嚴(yán)重的危害：十天前，互聯(lián)網(wǎng)域名供應(yīng)商獲知一種存在于至少12萬個網(wǎng)頁中的網(wǎng)絡(luò)服務(wù)微件通過惡意軟件感染了大量訪問者。據(jù)稱，該公司下載了該微件（即Small Business Success Index）到第三方在線目錄WidgetBox。

隨著越來越多的企業(yè)開始在網(wǎng)站中使用第三方代碼，并且從其他網(wǎng)站導(dǎo)入內(nèi)容，訪問者的安全性越來越依賴于其他網(wǎng)站。

“在過去五年中，web2.0已經(jīng)風(fēng)靡全球，”網(wǎng)絡(luò)掃描公司Dasient公司首席技術(shù)官Neil Daswani表示，“作為一名網(wǎng)絡(luò)管理員，你的安全實際上基本取決于一大堆第三方，所以你必須確保監(jiān)控所有代碼和微件?！?/P>

Network Solutions公司并不是在其網(wǎng)站無意地承載惡意代碼的唯一的互聯(lián)網(wǎng)公司，一年前，攻擊者冒充合法廣告商在紐約時報網(wǎng)站提交含有病毒的廣告，隨后通過這個流氓程序，該網(wǎng)站感染了大量訪問者（數(shù)目不詳）。其他網(wǎng)站（例如?？怂剐侣?、商業(yè)周刊等）也不得不面對類似問題。

在網(wǎng)站承載流氓程序?qū)τ谄髽I(yè)的影響是非常巨大且長久的。如果谷歌標(biāo)記某網(wǎng)站為惡意網(wǎng)站（因為包含流氓代碼），那么該網(wǎng)站的流量將下降95%之多，Daswani表示，“從我們從消費者收到的反饋來看，即使當(dāng)這個問題解決后，網(wǎng)站從黑名單移除后，仍然會對流量產(chǎn)生巨大影響。”

解決這個問題并不容易，并沒有標(biāo)準(zhǔn)或者可接受的方法來證明代碼是否安全和可靠，代碼掃描公司Converity首席研究人員Andy Chou表示，“在其他行業(yè)，對于產(chǎn)品的某種質(zhì)量測量都有相應(yīng)的認(rèn)證，”Chou表示，“在其他行業(yè)有很多方法來向消費者顯示他們購買產(chǎn)品的情況，而在軟件產(chǎn)業(yè)，并沒有類似的認(rèn)證，用戶必須自己對代碼進(jìn)行測試?！?/P>

安全專家建議，企業(yè)應(yīng)該定期對程序進(jìn)行掃描，檢查程序是否為惡意軟件或者木馬程序，開發(fā)人員可以使用靜態(tài)掃描儀來掃描源代碼，以查找安全漏洞。運行時掃描儀和防病毒掃描儀可以被用來檢測微件和程序在張貼到網(wǎng)站前的惡意活動。

然而，這些網(wǎng)站也應(yīng)該經(jīng)常進(jìn)行檢查，網(wǎng)站掃描公司Armorize公司首席技術(shù)官Wayne Huang表示，“組合掃描是個很好的方法，”Huang表示，“源代碼掃描有其局限性，同時客戶類型網(wǎng)絡(luò)掃描也存在局限性，所以結(jié)合使用將最大限度確保安全?！?/P>

安全專家認(rèn)為在大量網(wǎng)站發(fā)生類似事故之前，不會有太多網(wǎng)站定期對網(wǎng)站進(jìn)行掃描。

“對于這個領(lǐng)域，人們才剛剛意識到，”Coverity公司的Chou表示，“從我們與軟件開發(fā)組織的合作經(jīng)驗來看，所有這些開發(fā)阻止都有大量資源是由第三方來構(gòu)建的，任何使用軟件的地方，都來自于不同的來源?！?/P>

【編輯推薦】

1. 研究人員致力于智能化Web應(yīng)用程序安全掃描工具
2. Web應(yīng)用程序構(gòu)建后的一些必備安全措施