在這篇文章中，我們將探討漏洞和缺陷之間的差異。更重要的是，我們將介紹架構(gòu)風(fēng)險(xiǎn)分析（ARA）程序，經(jīng)證明，該程序能夠很好地發(fā)現(xiàn)和修復(fù)漏洞。

　　那么，漏洞和缺陷的區(qū)別是什么？也許我們可以從一些例子中得出結(jié)論。

　　漏洞

　　漏洞存在于軟件代碼（源代碼或二進(jìn)制）中。一個最經(jīng)典的漏洞是緩沖區(qū)溢出漏洞，這個漏洞根本上涉及濫用C中某些字符串處理函數(shù)功能。其中最臭名昭著的函數(shù)功能是gets()，這是一個系統(tǒng)調(diào)用，它從用戶獲取輸入直到用戶決定點(diǎn)擊回復(fù)。我們把一個固定大小的緩沖區(qū)想象成一個空水杯，然后想像一下，你設(shè)置了方法來從杯中取水以避免滿杯（攻擊者則在不斷“倒水”）。如果倒太多水到杯子里，水溢出來，就回灑在臺面上。在C中的緩沖區(qū)溢出的情況下，太多輸入會覆蓋堆，或者甚至覆蓋堆棧，從而破壞程序的堆棧，造成程序崩潰或使程序轉(zhuǎn)而執(zhí)行其它指令以進(jìn)行攻擊。簡單的漏洞，可怕的后果。面對gets()的問題，我們特別容易在源代碼中找到漏洞。

　　C中有數(shù)以百計(jì)的系統(tǒng)調(diào)用，如果使用不當(dāng)?shù)脑?，它們可能會?dǎo)致安全漏洞，包括從字符串處理功能到整數(shù)溢出和整數(shù)下溢等問題。當(dāng)然，在Java和其他語言中也有一樣多的錯誤。另外，在Web應(yīng)用程序（例如跨站腳本或者跨站請求偽造）中也有常見漏洞以及與數(shù)據(jù)庫相關(guān)的漏洞（例如SQL注入漏洞）。

　　面對這么多可能存在的漏洞，我們有必要部署和使用一些工具來查找它們。現(xiàn)在市面上有很多商業(yè)源代碼審查工具，比如惠普的Fortify、IBM的AppScan Source、Coverity公司的Quality Advisor，以及Klocwork的Clocwork Insight。目前源代碼審查的最新突破是直接整合漏洞查找到每個開發(fā)人員的集成開發(fā)環(huán)境（IDE）中，這樣我們就能盡可能在最開始發(fā)現(xiàn)漏洞。比如，Cigital的SecureAssist就是這種原理。

　　缺陷

　　除了漏洞之外，我們還會看到缺陷問題。缺陷存在于軟件架構(gòu)和設(shè)計(jì)中。這里有一個非常簡單的缺陷的例子：忘記驗(yàn)證用戶。這種錯誤通常無法在代碼審查中被發(fā)現(xiàn)，但這是一個極其嚴(yán)重的問題。你的進(jìn)程是以root身份運(yùn)行嗎？最好確定誰在使用它！

　　其它關(guān)于缺陷的例子包括“中間攻擊人”問題，它使得攻擊者能在組件、網(wǎng)絡(luò)層、機(jī)器或者網(wǎng)絡(luò)之間進(jìn)行篡改或者竊聽；另外，還有與糟糕協(xié)議有關(guān)的“重放攻擊”問題。

　　為了更好地說明缺陷，我們在這里列出了一些常見的與Java相關(guān)的缺陷問題：錯誤使用密碼系統(tǒng)、設(shè)計(jì)中的分區(qū)問題、特權(quán)塊保護(hù)故障（DoPrivilege()）、災(zāi)難性安全故障（脆弱性）、類別安全混淆錯誤、不安全的審計(jì)、損壞或不合邏輯的訪問控制（網(wǎng)絡(luò)層上的RBAC）、方法覆蓋問題（子類問題）、對不該信任的組件給予太多信任（客戶端）。（關(guān)于這些問題的更多信息，請參閱McGraw的《保護(hù)Java》一書）。

　　缺陷問題與漏洞一樣常見。事實(shí)上，大多數(shù)研究表明，漏洞和缺陷各占50%。當(dāng)然，本文中我們討論的是這二者的統(tǒng)一體。還有一些棘手的情況可能被同時歸類為漏洞和缺陷，這就取決于你如何看待它。但是，在一般情況下，學(xué)習(xí)區(qū)分漏洞和缺陷對你很有意義。