E安全12月30日讯 美国国家安全局(NSA)第五届年度最佳网络安全科技论文出炉,题为《来源决定高度:信息来源对代码安全的影响》的研究论文脱颖而出。
论文中的观点
想编写出更安全的代码?别再去浏览网上论坛了,应该花些时间认真研读官方编程文档或书籍。这是美国国家安全局(NSA)第五届年度最佳网络安全科技论文《来源决定高度:信息来源对代码安全的影响》的观点。
年度最佳科学网络安全论文大赛获奖者
在目前广泛使用的大量移动应用中,有许多在安全方面做得较差,例如过度获取权限、使用加密API时存在各种错误、部件间通信不够安全、敏感信息未存放在私密区等。究其根本原因,可能是API太复杂,而且其相关文档阐述不够充分,也可能是开发人员缺乏经验、不够专注。先前有报告指出,在遇到不熟悉的安全问题时,开发人员经常使用搜索引擎在网上找答案,所得到的结果经常来自官方API文档、博客帖子或论坛(例如Stack Overflow)。曾有开发人员因使用来自Stack Overflow论坛的代码而导致编写出的程序易遭受中间人攻击。
由德国萨尔大学和美国马里兰州大学的研究团队撰写的这篇获奖论文,最初发表在第37届IEEE安全与隐私研讨会上。这项研究发现,程序员对参考资料的选择影响其编写程序的能力,依赖网上论坛的程序员通常能更迅速地完成任务,但编写出的程序安全性较差;使用官方文档的程序员虽然编程速度慢,但程序安全性好。官方文档在用户友好性方面有待提高。如果以书籍作为参考文献,能够在编程速度和程序安全性之间获得较好的平衡,但在该团队的研究中,只有1位程序员自愿选择书籍作为参考文献。评选委员会认为,该论文很有价值,因为作者找到了当前实践的盲点,也展示了严谨的学风。一位专家评审员对这篇论文赞誉有加,称其是“近年来领域内最有伟大的研究成果之一”。
“年度最佳网络安全科技论文评选”由NSA研究处主办,旨在支持和鼓励网络安全领域的研究,促使因特网更安全、更可信。目前,第六届年度最佳网络安全科技论文评选的提名工作已经开始,评选范围是2017年发表的网络安全研究论文。
原文地址:https://www.easyaq.com/news/1563424654.shtml
E安全注:本文作者齐义胜,转载请联系授权,并保留出处与链接,不得删减内容
领取专属 10元无门槛券
私享最新 技术干货