甲骨文首席安全官发博批企业用户用逆向工程寻漏洞

2020-09-08 09:39:12 98

甲骨文首席安全官发博批企业用户用逆向工程寻漏洞


甲骨文(Oracle)公司的首席安全官Mary Ann Davidson在其博客上发表了一篇颇具争议的博文,题为《不,这样不行(No,You Really Can't)》 。大致为批评使用甲骨文软件的三方安全机构和企业用户通过逆向工程,来寻找甲骨文软件中的未修复安全漏洞的行为,并称其有违其软件协议,如此方法生成的漏洞报告可靠性小且误报率高。

虽然这篇博文发布几小时后即被撤下,但通过“时光机”Internet Archive可以看到曾经发布的文章。甲骨文执行副总裁及首席企业架构师Edward Screven随后称“这篇博文不能代表我们对待客户和合作的理念”已经撤销。此博文当然也引起了许多三方安全厂商的不满。

 

在文章中,首席安全官Davidson称近来大量增加的递交给Oracle公司的静态分析安全报告,其中包含许多企业用户雇佣第三方安全顾问或安全软件(如 Veracode,Coverity),通过逆向工程来扫描其企业软件的错误及潜在安全漏洞,Davidson称这些测试相当没有必要,并且通常会指向根本不存在的漏洞或缺陷。

 

她写道“大部分通过这些工具产生的报告有近乎的错报率,尽量别浪费时间通过这些方法(逆向工程)来寻找漏洞”且有违背Oracle证书协议。

她补充道与其搜寻隐蔽的0-day漏洞,不如保持其使用的软件时时更新,打上安全补丁。


她更指出,Oracle并不会像微软或谷歌那样提供漏洞悬赏计划,这并不符合该公司的价值。


锐工工业技术服务

沈阳锐工工业产品设计有限公司是一家专业工业设计及第三方测绘服务公司。业务涵盖全尺寸检测,逆向测绘,工装检具设计加工调试,加工制造。公司拥有经验丰富的逆向及正向工程师队伍,其工业服务网络覆盖东北三省和京津地区。并在中国沈阳、北京等地设立设计工作室。公司秉承“创新,准确”的核心价值观,致力于为用户提供全方位服务和创造更大价值,帮助客户企业加快产品开发与技术研发周期,快速迎合市场变化。