Oracle首席安全官Davidson：规范软件编码

对于目前这种不是很好的安全状态来说，我并没有责怪用户的意思。一点也没有。我认为提供商需要在这个层面上逐步提高认识。但是，同时，用户可以通过推动提供商正确的处理用户的需求来塑造市场，并且从此成为一个见多识广的购买者。只有成为见多识广的购买者才能改变这个市场。

那将把你推向一个独特的位置。你们公司也是软件提供商阵营的一部分，作为这个公司的首席安全官，你是如何扮演这个角色的？
说实在的，我认为我们公司并不存在这方面的问题，当然，我并不是说我们公司在这方面做的很完美。长期以来，人们一直是这么看待我们公司的，因为我们在这方面已经做了很多事情。多年以来，我们一直在讨论这个问题。事实上，我们所做的很多事情都已经成为行业内大家所遵从的一种规范。我们在装运产品之前，我们将会给用户发放一个产品清单，并且对交付使用的每个产品，我们都要求用户填写一份我们自己设计的调查问卷，从而能够清除可能存在的安全缺陷。

但是，不是只有我们才是如此。如果只有甲骨文生产的软件才是质量好的软件，那么对于甲骨文来说是一件好事情，但是对于这个巨大的生态系统来说并没有什么真正意义上的好处。虽然我们并不完美，但是在这个行业中有一种荒诞的传闻，那就是提供商阵营现在无所事事，等待着那些研究人员来发现他们软件中的漏洞。然后他们才情愿的对这些软件进行修补，并且他们将尽可能长时间的对这些安全漏洞进行尝试和讨论。

没有什么能够比事实更能够说明问题。对于甲骨文来说，通过研究人员发现的严重安全漏洞只占甲骨文所发现的严重安全漏洞的四分之一，并且这个数字还在下降。通过我们自己的测试，我们将会发现其中的大部分问题…我们拥有自己的合乎道德的黑客团队。

我在甲骨文的工作是确保安全是产品中的焦点，并且确保我们生产的产品是安全的。在风险－安全编码实践方面，我们已经适时的采用了正式的编码标准。我的合乎道德的黑客团队开发了这个标准，他们知道如何攻击一个目标并且知道怎样来写相应的代码才能保证软件的安全，使得编写出来的软件可以防御黑客的攻击。我们不仅仅要证明软件的这个新特征是否能够很好的工作，还要从安全的角度来测试和攻击这个新特征。因此，如果希望你将日期作为输入的一部分，那么我们将试图输入其他一些内容，从而看一看这个软件是否能够很好的处理这种意外情况。

我们在自己的公司内部使用自己编写的软件。因此，如果我们的软件工作做的不好的话，那么我们自己将是第一个受害者。

大约可以追溯到三年前，甲骨文在市场上的产品很容易受到攻击--特别是Oracle 9i--因为这个软件曾经号称"牢不可破"。在有关的研究人员发现这个软件存在一些安全漏洞后，你的公司很快就发布了相应的安全补丁，这也证明了这个说法是不真实的。你是否还有这样的观点：能够生产一个牢不可破的产品？
顺便说一句，这项活动不是我的主意。我们在防火墙中的端口扫描软件显示，人们利用这个入口的次数从原来的每周5000人次已经上升到30,000人次。对此没有必要感到惊奇。

我想，我们应该回到（当时）我们说话的那个时代来看一看当时我们所说的牢不可破的含义。我们之所以那样说，事实上是我们的产品已经通过了一些外部因素的验证，这些外部因素包括通用标准（Common Criteria）和一些其他方面的评估。所以，从那时起，我们就开始打起了相应的广告，当时我们的产品经过了14个机构的安全评估，而我们的竞争对手是一个也没有。现在，我们的数据库系统已经通过了22家安全机构的评估，而我们的竞争对手才从0改变为1。

很明确，因为我们那时讨论的是我们是如何来构建产品的。现在看来这是一件好事情，因为这给我们提供了一个论坛，在这个论坛上我们可以讨论断言的重要性。你们是如何构建你们的产品的？你们对你们的产品进行过安全审查吗？而我认为这是一个很重要的消息。

你们还会继续制造"牢不可破的"的产品吗？从宏观的角度出发，安全实际上是一种风险管理。在研发领域，我们讨论的是设计这个产品用于什么，这个产品应该能够实现这些功能。你所生产的产品不应该实现那些设计功能中所没有的功能。而这正是人们构建软件时所忽略的一个问题。我们并没有专门去排斥所有这些事情。正是因为你没有考虑这些排除在外的因素或者没有将对他们进行正确的编码，因此人们就可以用你的软件来实现一些不在计划之内的目的。这是一个很普遍的文化问题。