有可能你见过巾帼不让须眉,你却没有见过CSO(Chief Security Officer,即首席安全官)怒斥客户逆向工程(reverse engineering)行为。近日,甲骨文首席安全官Mary Ann Davidson对客户逆向工程代码寻找漏洞的做法表达了强烈的不满。
No,You Really Can't
8月10日,甲骨文公司(Oracle)公司的首席安全官Mary Ann Davidson在其博客上发表了一篇颇具争议的博文,文章题目为《不,这样不行(No,You Really Can't)》。
这篇博文发出后,由于文章"不能代表我们(甲骨文)对待客户和合作的理念",迅速被撤销。但通过"时光机"Internet Archive我们可以看到曾经发布的文章。
甲骨文
文中Mary Ann Davidson批评客户逆向工程的行为违反了产品授权协议,要求客户停止扫描代码否则将提起诉讼。她还警告客户不要向甲骨文发送代码扫描报告,称扫描报告不能作为存在漏洞的证明。
据称,甲骨文自己发现了87%的漏洞,安全研究人员发现了3%,其余则是客户报告的。
编外话:何为逆向工程?
如何避免漏洞?
逆向工程是一种技术破译工程。逆向工程是一种通过对特定产品的结构、功能、运行机制进行分解、分析和研究后,提出或制作出功能相近或相同,但技术实现方法不完全相同的产品的过程。
逆向工程最早来源于硬件领域,通过检查样品开发复杂硬件系统规约的过程,主要是指研究他人的系统,发现其工作原理,以达到复制和再利用的目的。