当前位置:首页 > 网络黑客 > 正文内容

有史以来复制最多的 StackOverflow 代码段存在缺陷

访客56年前 (1970-01-01)网络黑客811

对于开发者而言,Stack Overflow 和 GitHub 是最为熟悉不过的两大平台,这些平台充斥着大量开源项目信息和解决各类问题的代码片段。而就在近日,Palantir的 Java 开发人员,也是 StackQflow(与编程相关的问题的问答网站)中排名更高的参与者之一  Andreas Lundblad 却承认,一段自己十年前写的代码,也是 Stack Overflow 上复制次数最多、传播范围最广的代码段均包含一个错误。

据悉,2018年发表的一篇学术论文[PDF]确定了在网站上发布的代码片段 Lundblad 是从 StackOverflow 提取的复制最多的 Java 代码,然后在开源项目中重复使用。

该代码段以人类可读格式(例如 123.5 MB)打印了字节数(123,456,789 字节)。学者发现,此代码已被复制并嵌入到 6,000 多个 GitHub Java 项目中,比其他任何 StackOverflow Java 代码段都多。

而在上周发布的博客文章中,Lundblad 则承认,该代码存在缺陷,并且错误地将字节数转换为人类可读的格式。他表示,在学习了学术论文及其结果之后,已重新审视了代码。同时再次查看了该代码,并在其博客上发布了更正的版本。

STACKOVERFLOW 代码有时包含安全性错误

据了解,尽管 Lundblad 的代码段是存在一个琐碎的转换错误,仅导致文件大小估计稍有不准确,但情况或许可能会更糟。例如,该代码可能包含安全漏洞。如果这样做的话,那么修复所有易受攻击的应用程序将花费数月甚至数年,使用户容易受到攻击。

事实上,即使普遍认为从 StackOverflow 复制粘贴代码是一个坏主意,但开发人员还是一直这样做。

2018 年的研究论文显示了这种做法在 Java 生态系统中的普及程度,并揭示了复制流行的 StackOverflow 答案的绝大多数开发人员甚至都没有理会其来源。

从 StackOverflow 复制代码但没有署名的软件开发人员,实际上对其他编码人员隐藏了他们已经在项目内部引入未经审查的代码的情况。

这听起来像是一个过于警惕的声明,但在 2019 年 10 月发表的另一项学术研究项目[PDF]显示,StackOverflow 代码段确实包含漏洞。该研究论文在过去十年中在 StackOverflow 上发布的 69 种更流行的 C ++ 代码片段中发现了主要的安全漏洞。

研究人员透露,他们在总共 2859 个 GitHub 项目中发现了这 69 个易受攻击的代码片段,显示了一个错误的 StackOverflow 答案如何对整个开源应用生态系统造成破坏。

(稿源:cnBeta,封面源自 *** 。)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/33134.html

“有史以来复制最多的 StackOverflow 代码段存在缺陷” 的相关文章

红十字国际委员会称“国家支持的”黑客利用未修复的漏洞发起攻击

据TechCrunch报道,红十字国际委员会(ICRC)最近遭到网络攻击,超过51.5万名“高危人群”的数据被泄露,这很可能是国家支持的黑客所为。在周三发布的更新中,红十字国际委员会证实,最初的入侵可以追溯到2021年11月9日,即在1月18日攻击被披露之前的两个月,并补充说,其分析表明,入侵是对其...

微软将在 5 个 Office 应用程序中默认阻止互联网下载的宏程序

微软今天宣布,它将默认阻止5个Office应用程序中VBA宏脚本的执行,这是近年来影响最大的变化之一。从2022年4月初开始,Access、Excel、PowerPoint、Visio和Word用户将不能在他们从互联网上下载的不受信任的文件中启用宏脚本。 安全研究人员多年来一直要求作出这一改变,这将...

英国计划要求科技公司必须提供身份验证工具以应对匿名恶意用户

英国政府拟议中的一项措施将迫使科技公司开发工具,让用户过滤掉任何被认为 “合法但有害”的材料。这些新措施被添加到英国即将出台的《网络安全法案》中,该法案将强制要求数字平台承担起保护用户免受有害内容影响的责任。 根据英国政府周五宣布的新计划,Facebook、Google和Twitter等科技平...

SushiSwap 承认 MISO 平台遭到软件供应链攻击 损失超过 300 万美元

SushiSwap 首席技术官表示,该公司的 MISO 平台近日受到了软件供应链的攻击。SushiSwap 是一个社区驱动的去中心化金融(DeFi)平台,方便用户交换、赚取、借出、借用和利用加密货币资产。今年早些时候,Sushi 的最新产品 Minimal Initial SushiSwap Off...

CISA 向美国企业与机构发布勒索软件防御和响应指南

在过去几个月里,美国企业遭受了一系列破坏性的的勒索软件攻击,有鉴于此,国土安全部的网络安全和基础设施安全局(CISA)发布了一份防止和应对此类攻击的建议清单。这份名为《保护敏感信息和个人信息免受勒索软件导致的数据泄露》的信息表包含许多建议。此外,该文件建议公司如果成为勒索软件攻击的目标,不要支付赎金...

eCh0raix 勒索软件攻击激增,QNAP NAS 设备受到攻击

Hackernews 编译,转载请注明出处: QNAP网络连接存储(NAS)设备的用户报告了eCh0raix勒索软件(也称为QNAPCrypt)对其系统的攻击。 这一特定恶意软件背后的攻击者在圣诞节前一周左右加强了攻击力度,用管理员权限控制设备。 圣诞节前攻击次数增加 BleepingCompute...

评论列表

只酷浪胚
3年前 (2022-05-28)

一个错误的 StackOverflow 答案如何对整个开源应用生态系统造成破坏。(稿源:cnBeta,封面源自网络。)

依疚软祣
3年前 (2022-05-28)

最流行的 C ++ 代码片段中发现了主要的安全漏洞。研究人员透露,他们在总共 2859 个 GitHub 项目中发现了这 69 个易受攻击的代码片段,显示了一个错误的 StackOverflow 答案如何对整个开源应用生态系统造成破坏。(稿源:cn

莣萳哀由
3年前 (2022-05-28)

流行的 StackOverflow 答案的绝大多数开发人员甚至都没有理会其来源。从 StackOverflow 复制代码但没有署名的软件开发人员,实际上对其他编码人员隐藏了他们已经在项目内部引入未经审查的代码的情况。这听起来像是一个过于警惕的声明,但在 20

礼忱囍笑
3年前 (2022-05-28)

片段,显示了一个错误的 StackOverflow 答案如何对整个开源应用生态系统造成破坏。(稿源:cnBeta,封面源自网络。)

绿邪礼忱
3年前 (2022-05-28)

中排名最高的参与者之一  Andreas Lundblad 却承认,一段自己十年前写的代码,也是 Stack Overflow 上复制次数最多、传播范围最广的代码段均包含一个错误。据悉,2018年发表的一篇学术论文[PDF]确定了在网站上发布的代码片段

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。