微软推广软件安全开发生命周期,09年10个漏洞最多软件排行

1.12月28日上午消息，随着第三方软件安全威胁的加大，微软明年将会加大软件安全开发生命周期在中国的推广力度。

“我们有一个统计数据表明，出现的所有的安全漏洞里面，整个比例中，跟操作系统有关的漏洞应该是少于9%，我记得在08年的时候，这个比例是6%，与此同时，和应用软件相关的这个漏洞占了90%到94%。”微软大中华区战略安全官裔云天说。

裔云天解释说，大的操作系统厂商在安全性方面投了很多的精力，对于很多黑客来说，攻击操作系统变得越来越困难，他就把这个目标转移到应用软件，因为应用软件的开发是由很多的第三方来开发，而这些第三方开发者往往缺乏对于安全性的考虑。

为提升产品安全性，微软在产品开发中引入了软件安全开发生命周期(SDL)这一概念。裔云天说“它一共分为10个阶段，这10个阶段，从它的设计，包括它里面有一个最重要的一点，叫威胁建模。我们在网站提供了一个软件，当你设计软件的时候，你可以用那个威胁建模的软件来评估一下，您这个软件可能有的安全威胁在哪里？然后，针对这个安全威胁，你后面设计你的软件整个流程的时候，应该怎么做？”

裔云天透露，微软目前也正跟CC国际标准组进行合作，把SDL能做为其中一个重要部分，使其成为一个标准。

在美国、英国等地，微软已经展开了SDL的培训计划。在中国已经有很多大的机构已经采用SDL，但是，因为没有大规模地进行推广。”“我们可能会通过软件园培训等多方面进一步推广SDL，这也是我今年工作的一个重点。”裔云天说。

2.2009年10个漏洞最多软件排行评出

年末，国外媒体Zdnet评出了2009年被发现漏洞最多的十个软件产品，Adobe轻松包揽前三名；此外，榜上的其他产品大家也不陌生：Firefox、Java；不过大家所熟悉的IE、Windows系统、Office等微软系列并不在该项榜单中。

1、Adobe Reader

Adobe是一款应用十分广泛的办公软件，包含多个功能强大的应用组件。提到漏洞，人们经常首先想到的是Adobe。今年发现的漏洞 有：Adobe Reader可以直接用浏览器点击网页上的PDF文档，并在浏览器的窗口中打开该文档，被挂马集团利用；DoS拒绝服务式攻击、缓冲区溢出问题等。

2、Adobe Flash Player

排在第二位的是Adobe Flash Player。黑客正在利用新版Adobe Flash Player的漏洞向用户发起攻击，这种漏洞可以让黑客获得对用户电脑的完全控制权，并伪造一个1.1KB的Flash视频文件进行攻击。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点