問：據(jù)Secunia稱，第三方軟件漏洞造成了現(xiàn)在大多數(shù)用戶計算機的主要缺陷。企業(yè)應(yīng)該多重視第三方軟件漏洞呢？另外，在修補這些漏洞時企業(yè)是否受到第三方供應(yīng)商的限制？

答：Secunia ApS一直在用它的Personal Software Inspector（PSI）和Corporate Software Inspector（CSI）來跟蹤和掃描Windows系統(tǒng)易受感染的軟件。Secunia能確定過時的或易受感染的軟件（傳統(tǒng)的補丁或升級可以阻止攻擊或修復(fù)漏洞）。Secunia在其2010年上半年報告中指出第三方程序（不是由微軟直接支持的程序）漏洞在持續(xù)增加，這些漏洞比安裝在系統(tǒng)上的微軟軟件所能掃描的漏洞要多。

企業(yè)應(yīng)該加強對第三方軟件補丁修復(fù)的重視，增加在補丁和系統(tǒng)管理產(chǎn)品上的投資，從而使他們能夠?qū)M織中所使用的軟件進行更新。隨著網(wǎng)絡(luò)和操作系統(tǒng)安全性的提高，犯罪份子也一直在提升網(wǎng)絡(luò)堆?！撾x操作系統(tǒng)——來進行攻擊。企業(yè)還應(yīng)該重視修復(fù)Windows補丁，開發(fā)管理微軟補丁的流程。一般，企業(yè)并沒有很重視修復(fù)第三方軟件。因此，犯罪分子開始利用第三方軟件的漏洞來實施攻擊。企業(yè)需要創(chuàng)建第三方安全策略來應(yīng)對這些威脅，甚至要添加額外的管理系統(tǒng)，以整合第三方產(chǎn)品修復(fù)到他們已有的流程中。

在修復(fù)這些漏洞和防止軟件利用方面，企業(yè)受到第三方供應(yīng)商的支配，但也受到微軟的支配。企業(yè)應(yīng)當以同樣的高標準（他們對微軟的要求）來要求他們的軟件供應(yīng)商，還應(yīng)該讓他們的供應(yīng)商知道他們需要安全的軟件，如果供應(yīng)商的產(chǎn)品不能滿足這方面的要求，他們將轉(zhuǎn)向其他更安全的產(chǎn)品。

【編輯推薦】

1. 第三方軟件漏洞成黑客攻擊主要對象
2. 軟件的安全尷尬：破鼓自有萬人錘