Java開發者會從Stack Overflow得到存在安全隱患的答案
弗吉尼亞理工大學的研究人員分析了流行編程問答社區 Stack Overflow 上的帖子,發現許多程序員缺乏網絡安全方面的訓練,給出答案時似乎并不真正理解與代碼相關的安全問題。
研究人員集中分析了與 Java 安全相關的帖子,以及解決與 Spring Security 有關的問題的帖子,從軟件工程和安全角度予以分析。
Spring Security 是為企業應用程序提供身份驗證、授權和其他安全功能的第三方 Java 框架。Spring Security 旨在促進安全編碼,但很明顯,許多開發者發現其 API 太復雜,文檔不夠完善,運行時系統的錯誤報告令人困惑。
研究人員還發現,有時候得到最多好評的答案包含了不安全的建議,會在軟件中引入漏洞。而別人給出的更正確的答案卻經常因為低聲譽而得不到重視。他們的論文《Secure Coding Practices in Java: Challenges and Vulnerabilities》(PDF)發表在預印本網站上。
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!