Java开发者会从Stack Overflow得到存在安全隐患的答案
jopen 7年前
<p style="text-align:center"><img alt="Java开发者会从Stack Overflow得到存在安全隐患的答案" src="https://simg.open-open.com/show/3de3264d326ed24e47ecb4155934257e.jpg" /></p> <p>弗吉尼亚理工大学的研究人员<a href="/misc/goto?guid=4959011231059771902">分析了</a>流行编程问答社区 Stack Overflow 上的帖子,发现许多程序员缺乏网络安全方面的训练,给出答案时似乎并不真正理解与代码相关的安全问题。</p> <p>研究人员集中分析了与 Java 安全相关的帖子,以及解决与 Spring Security 有关的问题的帖子,从软件工程和安全角度予以分析。</p> <p>Spring Security 是为企业应用程序提供身份验证、授权和其他安全功能的第三方 Java 框架。Spring Security 旨在促进安全编码,但很明显,许多开发者发现其 API 太复杂,文档不够完善,运行时系统的错误报告令人困惑。</p> <p>研究人员还发现,有时候得到最多好评的答案包含了不安全的建议,会在软件中引入漏洞。而别人给出的更正确的答案却经常因为低声誉而得不到重视。他们的论文《<a href="/misc/goto?guid=4959011231171126137">Secure Coding Practices in Java: Challenges and Vulnerabilities</a>》(PDF)发表在预印本网站上。</p> <p>参考:<a href="/misc/goto?guid=4959011231288919174">Solidot</a>、<a href="/misc/goto?guid=4959011231400659413">HELPNETSECURITY</a></p>