預(yù)防Web應(yīng)用程序的漏洞

如今的Web應(yīng)用程序可能會包含危險的安全缺陷。這些應(yīng)用程序的全球化部署使其很容易遭受攻擊，這些攻擊會發(fā)現(xiàn)并惡意探測各種安全漏洞。

Web環(huán)境中兩個主要的風(fēng)險在于：注入——也就是SQL注入，它會讓黑客更改發(fā)往數(shù)據(jù)庫的查詢——以及跨站腳本攻擊（XSS），它們也是最危險的（Category:OWASP_Top_Ten_Project）。注入攻擊會利用有問題代碼的應(yīng)用程序來插入和執(zhí)行黑客指定的命令，從而能夠訪問關(guān)鍵的數(shù)據(jù)和資源。當(dāng)應(yīng)用程序?qū)⒂脩籼峁┑臄?shù)據(jù)不加檢驗或編碼就發(fā)送到掃瞄 器上時，會產(chǎn)生XSS漏洞。

盡管2009年OWASP（Open Web Application Security Project）的一個報告表明安全方面的投資在增加Category:OWASP_Security_Spending_Benchmarks）,但是NTA Monitor的2010 Web應(yīng)用安全報名表明Web的安全性跟前一年相比實際在下降。實際上，Web應(yīng)用的漏洞給公司和組織帶來了很多的問題。按照WhiteHat Security最新的Web站點安全性數(shù)據(jù)報告所示，被評估網(wǎng)站的63%是有漏洞的，每個平均有六個未解決的缺陷WhiteHat Website Security Statistics Report)。這些漏洞創(chuàng)建并維持了一個基于攻擊竊取數(shù)據(jù)和資源的地下經(jīng)濟鏈。

Web應(yīng)用程序需要有深度防備的措施來幸免和減少安全性漏洞。¹這種方式假設(shè)所有的安全預(yù)防措施都可能失敗，所以安全性依賴于多層的機制從而能夠覆蓋其他層的失敗。為了減少成功攻擊的可能性，軟件工程師團隊必須做出必要的努力來引入適當(dāng)?shù)陌踩苑雷o措施。要達到這一點必須使用各種技術(shù)和工具來確保安全性涵蓋軟件產(chǎn)品開發(fā)生命周期的所有階段。

軟件開發(fā)生命周期中的安全性

盡管軟件開發(fā)的生命周期有多種不同的劃分方式，但正如圖1所示，它通常包含如下的階段：初始化、規(guī)范和設(shè)計、實現(xiàn)（編碼）、測試、部署以及停用，這些階段應(yīng)用開發(fā)人員可以不地重復(fù)迭代。²

盡管開發(fā)人員應(yīng)該在產(chǎn)品的整個生命周期中都關(guān)懷 代碼安全性，³但是他們應(yīng)該特別關(guān)注三個關(guān)鍵階段：¹

• 實現(xiàn)。在編碼過程中，軟件開發(fā)人員必須使用特定應(yīng)用領(lǐng)域內(nèi)幸免關(guān)鍵漏洞的最佳實踐。這種實踐的例子包括輸入和輸出校驗、識別惡意字符以及使用參數(shù)化的命令。⁴ 盡管這些技術(shù)在幸免大多數(shù)安全漏洞方面很有效，但因為缺乏安全相關(guān)的知識，開發(fā)人員通常并不使用它們或者使用得不正確。邊欄“為什么開發(fā)人員不使用安全編碼實踐？”更詳細地討論了這個問題。
• 測試。有很多技術(shù)可以在測試階段使用，包括滲透測試（目前最流行的技術(shù)）、靜態(tài)分析、動態(tài)分析以及運行時的異常檢測。⁴ 問題在于開發(fā)人員通常會關(guān)注需求功能的測試而忽略安全方面。另外，現(xiàn)有的自動化工具要么在漏洞探測覆蓋度方面比較差要么產(chǎn)生太多的誤報。
• 部署。在運行時環(huán)境中，會有不同的攻擊探測機制。這些機制可以按照不同的級別運行并使用不同的探測方式。它們的使用障礙在于性能開銷以及不準確的結(jié)果會打亂系統(tǒng)的正常行為。

開發(fā)安全的代碼

為了編寫沒有漏洞的安全代碼，⁴ 基于Web基礎(chǔ)設(shè)施的關(guān)鍵業(yè)務(wù)開發(fā)人員就要遵循編碼實踐，這個實踐包括了深度防備的措施，它假設(shè)所有的安全性預(yù)防措施都會失敗。在實現(xiàn)階段依賴多層的安全機制是特別重要的，使用一個預(yù)防或保護措施來幸免安全漏洞是不夠的。

Web應(yīng)用程序的特征在于需要三層不同的安全防線：輸入校驗、熱點保護以及輸出校驗。

輸入校驗

大多數(shù)的安全漏洞是因為目標應(yīng)用程序沒有正確地校驗輸入數(shù)據(jù)。¹所以，應(yīng)用程序要考慮到所有惡意的輸入直到能證明其合法，這要涵蓋不可信環(huán)境中的所有數(shù)據(jù)。

輸入校驗是第一道防線，總體來講就是縮小應(yīng)用程序同意輸入的范圍，它會直接作用在用戶提供的數(shù)據(jù)上。這種類型的防備要依賴輸入?yún)?shù)在一個合法的范圍內(nèi)，或者如果用戶提供了超出了范圍的值就會停止執(zhí)行。在Web應(yīng)用程序中，這首先要標準化輸入將其轉(zhuǎn)換到基線字符集和編碼。接下來，應(yīng)用程序必須對標準化的輸入使用過濾策略，拒絕那些值在合法范圍之外的輸入。這種方式能夠幸免很多Web應(yīng)用程序中的問題，在執(zhí)行輸入校驗時會使用正向模式匹配或正向校驗。在這種情況下，開發(fā)人員建立規(guī)則來識別那些可接受的輸入而不是識別有什么輸入是不可接受的。盡管開發(fā)人員不能預(yù)測所有類型的攻擊，但他們應(yīng)該能夠說明所有類型的合法輸入。

關(guān)鍵問題在于，輸入校驗通常使用地并不充分，這是因為輸入?yún)?shù)的數(shù)據(jù)域同意存在惡意數(shù)據(jù)，這是與校驗執(zhí)行相獨立的。例如，在SQL注入漏洞中，大多數(shù)的SQL語句使用引號作為字符串分隔符，這就意味著黑客可以使用它來執(zhí)行SQL注入攻擊。⁴但是，在有些情況下，字符串輸入域必須同意存在引號值，所以應(yīng)用程序不能排除所有包含引號的值。

熱點防護

為了應(yīng)對輸入校驗的局限性，有必要采納第二道防線

任何類型的攻擊都是以熱點為目標的，熱點指的就是應(yīng)用程序中可能會有某種類型漏洞的代碼。通用的輸入校驗會在應(yīng)用程序中進行或者在整個Web應(yīng)用程序上下文中修改輸入，與之相比，第二道防線關(guān)注于保護重要的熱點，例如保護那些真正使用輸入域值的代碼行。

一個具體的例子就是SQL注入攻擊，它們大多數(shù)會使用單引號或雙引號。有些編程語言提供了對這些字符的轉(zhuǎn)碼機制，這樣它們就能用在SQL語句中了，但是只能用來在語句中分隔值。⁴但是這些技術(shù)有兩個問題。第一，更高級的注入技術(shù)，例如聯(lián)合使用引號和轉(zhuǎn)義字符，可以繞過這些機制。第二，引入轉(zhuǎn)義字符會增加字符串的長度，如果結(jié)果字符串的長度超過數(shù)據(jù)庫限制的話，可能會導(dǎo)致數(shù)據(jù)截斷。

正確使用參數(shù)化命令是預(yù)防注入攻擊最有效的方式。¹在這種情況下，開發(fā)人員定義命令的結(jié)構(gòu)，并使用占位符來代表命令的變量值。稍后,當(dāng)應(yīng)用程序?qū)?yīng)的值關(guān)聯(lián)到命令上時，命令解釋器會正確地使用它們而不會涉及到命令的結(jié)構(gòu)。

這種技術(shù)最著名的用法是數(shù)據(jù)庫的預(yù)處理語句，也被稱為參數(shù)化查詢。⁴ 當(dāng)應(yīng)用程序創(chuàng)建預(yù)處理語句時，語句發(fā)送到了數(shù)據(jù)庫端。應(yīng)用程序使用占位符來表示查詢的可變部分，占位符通常會是問號或標簽。隨后，每次查詢執(zhí)行時，應(yīng)用程序都要往對應(yīng)的可變部分綁定值。不管數(shù)據(jù)的內(nèi)容是什么，應(yīng)用程序會一直使用這個表達式作為一個值而并沒有SQL代碼。因此，不可能修改查詢的結(jié)構(gòu)。

為了確保正確使用數(shù)據(jù)，很多語言同意類型綁定。但是預(yù)處理語句本身并不能修復(fù)不安全的語句——開發(fā)人員必須正確地使用它們。例如，像傳統(tǒng)語句一樣使用預(yù)處理語句——也就是使用字符串拼接來綁定SQL查詢——而不是對查詢的可變部分使用占位符會導(dǎo)致類似的漏洞。

輸出校驗

在將一個進程的輸出發(fā)送之前進行校驗?zāi)軌蛐颐庥脩羰盏剿麄儾粦?yīng)該看到的信息，例如應(yīng)用程序內(nèi)部的異常細節(jié)，這些信息有助于發(fā)起其他的攻擊。在輸出校驗的另一個例子當(dāng)中，保護系統(tǒng)會搜索應(yīng)用程序輸出的關(guān)鍵信息，如信用卡號，并在發(fā)送給前端之前用星號代替。將信息編碼是能夠幸免XSS漏洞的一種輸出校驗方式。⁴如果發(fā)送給掃瞄 器的數(shù)據(jù)要顯示在Web頁面上，它應(yīng)該進行HTML編碼或百分號編碼，這取決于它在頁面的位置。通過這種方式，XSS所用的惡意字符不再具有破壞性，而且編碼會保留數(shù)據(jù)的原來意義。

探測漏洞

識別安全的問題要求不僅測試應(yīng)用程序的功能還要尋找代碼中可能被黑客利用的隱藏的危險缺陷。⁵探測漏洞的兩個主要方式是白盒分析和黑盒測試。

白盒分析

白盒分析需要在不執(zhí)行的情況下檢查代碼。開發(fā)人員可以按照以下兩種方式中的某一種來進行：在代碼的審查或評審時以手動方式進行或者借助自動分析工具自動化進行。

代碼審查（Code inspection）指的是程序員的同伴系統(tǒng)檢查交付的代碼，查找編碼錯誤。⁶安全審查是減少應(yīng)用程序中漏洞最有效的方式；當(dāng)為關(guān)鍵的系統(tǒng)開發(fā)軟件時，這是重要的過程。但是，這種審查方式通常是很費時間的、代價昂貴并需要深入了解Web的安全知識。

代碼檢查（Code review）是代價稍為低廉的替代方案，⁶它是一種簡化版本的代碼審查適用于分析不像前面那么重要的代碼。檢查也是手動進行的，但是它不需要正式的審查會議。幾個專家分別進行檢查，然后由主持人過濾和合并結(jié)果。盡管這是一個有效的方式，但代碼檢查的成本依舊是很高的。

為了減少白盒法分析的成本，開發(fā)人員有時依賴自動化工具，如靜態(tài)代碼分析器。靜態(tài)代碼分析工具會檢查軟件代碼，要么是源碼格式要么是二進制格式，并試圖識別出常見的編碼級別缺陷。⁴ 使用現(xiàn)有工具所執(zhí)行的分析會因為它們的復(fù)雜性而有所不同，這種差異體現(xiàn)在考慮單條語句和命令或考慮代碼行之間的依賴。除了模型檢查和數(shù)據(jù)流分析等功能之外，這些工具還會自動關(guān)注可能的編碼錯誤。它的主要問題在于細致的分析是很困難并且因為源碼的復(fù)雜性和缺乏動態(tài)（運行時）的視角有很多安全缺陷很難被發(fā)現(xiàn)。

盡管使用靜態(tài)代碼分析工具很重要，但是它有時會降低開發(fā)人員的生產(chǎn)效率，這主要是因為誤報，這會導(dǎo)致沒有用處的額外工作。⁷為了幸免這種情況，除了要有足夠的時間學(xué)習(xí)怎樣使用這些工具以外，開發(fā)人員需要一些策略來保證正確使用這些工具。例如，有必要指定規(guī)則來分類和選擇開發(fā)人員應(yīng)該處理的警告信息。同時，開發(fā)人員還要配置分析工具只報告那些與當(dāng)前開發(fā)上下文相關(guān)的警告。沒有接受怎樣使用靜態(tài)分析訓(xùn)練的開發(fā)人員最終會低估它的真正效益并且通常不能發(fā)揮它的所有功能。

黑盒測試

黑盒測試指的是從外部的視角分析程序的執(zhí)行。簡而言之，它會比較軟件執(zhí)行的輸出與期望的結(jié)果。⁵ 對于軟件的檢驗和確認來說，測試可能是最常用的技術(shù)了。

對于黑盒測試來講，有多種級別，從單元測試到集成測試再到系統(tǒng)測試。測試方式可以是正式的（基于模型和定義良好的測試規(guī)范）也可以不那么正式（被稱為“冒煙測試”，一種粗糙的測試目的是快速暴露簡單的缺陷）。

健壯性是黑盒測試一種特別 形式，它的目標是查看系統(tǒng)在錯誤輸入條件下的行為。滲透測試是特別 類型的健壯性測試，它會分析在遇到惡意輸入時的代碼執(zhí)行并查找潛在的漏洞。在這種方式中，測試人員使用模糊技術(shù)，這包含通過HTTP請求，提交意料之外的或非法的數(shù)據(jù)項到Web應(yīng)用程序上并檢查它的響應(yīng)。⁴測試人員不需要了解實現(xiàn)細節(jié)——他們在用戶的角度來測試應(yīng)用程序的輸入。對于每種漏洞類型，可能會有上百次甚至上千次的測試。

滲透測試工具會自動搜索漏洞，這幸免了手工為每種類型的漏洞構(gòu)建上百個甚至上千個測試所帶來的重復(fù)和乏味的工作。Web應(yīng)用的常見自動化安全測試工具一般會稱為Web應(yīng)用或Web安全掃描器。這些掃描器可以很容易地測試應(yīng)用程序以發(fā)現(xiàn)漏洞。對于目標應(yīng)用，它們會有一些預(yù)定義的測試用例，所以用戶只需要配置一下掃描器并讓它測試應(yīng)用即可。一旦掃描器完成測試，它會報告所探測到的漏洞。大多數(shù)的掃描器都是商業(yè)產(chǎn)品，盡管也有免費的應(yīng)用程序掃描器，但是與商用版本相比，它們?nèi)鄙俅蠖鄶?shù)的功能所以用的很有限。

漏洞探測的局限性

滲透測試和靜態(tài)代碼分析可以是手動的也可以是自動化的。因為手動測試或檢查需要特別 的安全資源并且很費時間，所以對于Web應(yīng)用的開發(fā)人員來說自動化工具是常見的選擇。當(dāng)考慮漏洞檢測工具的局限性時，很重要的一點就是安全測試是很困難的。確實，衡量應(yīng)用程序的安全性是很有挑戰(zhàn)性的：盡管發(fā)現(xiàn)一些漏洞可能很容易，但是保證應(yīng)用沒有漏洞是困難的。¹

滲透測試和靜態(tài)代碼分析工具都有其固有的局限性。滲透測試依賴于有效地代碼執(zhí)行，但是在實踐中，漏洞識別時只會檢查Web應(yīng)用的輸出。所以，缺少查看應(yīng)用的內(nèi)部行為會限制滲透測試的有效性。

另一方面，詳盡的源代碼分析可能比較困難。代碼的復(fù)雜性以及缺少動態(tài)（運行時）的觀察可能會阻止發(fā)現(xiàn)很多安全缺陷。當(dāng)然，滲透測試不需要查看源碼，但是靜態(tài)代碼分析需要。

使用錯誤的檢測工具會導(dǎo)致部署的應(yīng)用含有未檢測出的漏洞。圖2比較了在Web服務(wù)中，知名的并廣泛使用的滲透測試和靜態(tài)分析工具在檢測SQL注入漏洞中的表現(xiàn)。⁸結(jié)果顯示靜態(tài)代碼分析工具——包括FindBugs、Fortify 360以及IntelliJ IDEA（在圖中匿名為SA1到SA3）——的覆蓋度通常高于滲透測試工具，包括HP WebInspect、IBM Rational AppScan、Acunetix Web Vulnerability Scanner以及科英布拉大學(xué)開發(fā)的一個原型工具（在圖中匿名為VS1到VS4）。這兩種方式都有的一個問題就是誤報，但是在靜態(tài)分析中更明顯。一個重要的發(fā)現(xiàn)在于相同方式下的不同工具對于相同的代碼通常報告不同的漏洞。

根據(jù)研究結(jié)果，需要強調(diào)工具的局限性使得有必要提高漏洞檢測的有效性，比如這可以通過聯(lián)合使用多種方式來實現(xiàn)。另外，開發(fā)人員需要定義一種機制來評估和比較不同的工具，這樣它們才能選擇最適合各種開發(fā)場景的工具。

檢測攻擊

為了防止對Web應(yīng)用的攻擊，軟件工程師必須實施攻擊檢測機制，通常稱為入侵檢測系統(tǒng)（intrusion detection system，IDS）或Web應(yīng)用防火墻（WAF）。不同的工具可以作用在應(yīng)用或網(wǎng)絡(luò)級別甚至在應(yīng)用的資源上，如數(shù)據(jù)庫，它們可以使用不同的方式如異常檢測或簽名匹配來檢測攻擊。

檢測攻擊的方法

檢測攻擊要區(qū)分出與所學(xué)習(xí)行為的差別。攻擊檢測工具所使用的方式要么基于異常檢測要么基于簽名。⁸

異常檢測通常需要一個訓(xùn)練階段。訓(xùn)練階段會展現(xiàn)系統(tǒng)的無惡意請求，工具會在給定的架構(gòu)級別觀察它的行為并學(xué)習(xí)正常的操作。這些工具會考慮到每個Web應(yīng)用程序的細節(jié)，但如果應(yīng)用程序的正確行為發(fā)生了變化或?qū)W習(xí)不完整的話，會產(chǎn)生很多錯誤的警告。

相比之下，基于簽名的工具會查找預(yù)定義的一組規(guī)則模式或標示攻擊的簽名。因為這些簽名通常是獨立于應(yīng)用的，所以工具的成功與應(yīng)用程序的運行配置文件或任何訓(xùn)練過程無關(guān)。

在網(wǎng)絡(luò)級別進行操作的工具通常會監(jiān)視和分析網(wǎng)絡(luò)流量，以保證攻擊在到達Web應(yīng)用之前檢測到。工作在應(yīng)用級別的攻擊檢測工具會分析發(fā)送給應(yīng)用的請求并試圖利用服務(wù)端程序和請求中參數(shù)的特定關(guān)系。工作在資源層的工具會保護與每種漏洞類型相關(guān)的資源。這些工具會在應(yīng)用層之下并接近受保護的資源。一個常見的例子是監(jiān)控對數(shù)據(jù)庫服務(wù)器的訪問來檢測SQL注入的IDS。

工具使用各種策略來收集應(yīng)用請求以及可能收到攻擊的信息。一些工具會使用嗅探策略來監(jiān)控和分析通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)以此來觀察HTTP流量，但是加密、編碼以及封裝可能會限制其有效性。同時，網(wǎng)絡(luò)上可能會承載大量與受保護應(yīng)用無關(guān)的數(shù)據(jù)。另一些工具會分析應(yīng)用產(chǎn)生的日志甚至是應(yīng)用所在服務(wù)器所產(chǎn)生的日志。盡管這種策略不會直接延遲對應(yīng)用的請求，但是受限于日志中可以得到的信息。

而另一種策略就是在請求的來源和受保護的應(yīng)用或資源間引入一個代理。這能夠很容易地阻止攻擊，因為它提供了關(guān)于目標應(yīng)用或資源的有用信息，但是，它引入了不良的延時從而會影響應(yīng)用的正常行為。

檢測攻擊的局限性

因為每個Web應(yīng)用程序的細節(jié)會影響到攻擊檢測工具的表現(xiàn)，同時工具所運行的架構(gòu)級別也會有所影響，所以它們的實際效果通常是未知的。¹⁰大多數(shù)工具的檢測覆蓋比較低（在很多場景下，低于20%），同時它們還會有很多誤報（高達所產(chǎn)成警報的50%）。此外，有些工具在特定的場景下展現(xiàn)的結(jié)果很好，但是在其他場景下所提供的結(jié)果很差。

數(shù)據(jù)庫級別的工具通常比應(yīng)用級別的工具表現(xiàn)更好一些，¹⁰不過它們會產(chǎn)生一些關(guān)于請求的誤報，這些請求是不會成功攻擊數(shù)據(jù)庫的。基于異常檢測的工具對于簡單的應(yīng)用表現(xiàn)得更好，而基于簽名的工具對于復(fù)雜的應(yīng)用表現(xiàn)更好。在簡單的應(yīng)用程序中，工具能夠?qū)W習(xí)并且更好地描述行為，因此從模式中檢測偏差會更準確。實際上，異常檢測的成功取決于訓(xùn)練階段。如果訓(xùn)練不完整或者應(yīng)用的正常操作配置在訓(xùn)練后發(fā)生了變化，那么攻擊檢測工具的有效性會降低。

使用這些工具的開發(fā)人員有時缺乏創(chuàng)建適當(dāng)配置的培訓(xùn)。這會減少工具的有效性，這凸顯了評估和對比不同工具及配置的重要性。¹⁰

新的趨勢和方向

要達到更好的結(jié)果并提高有效性需要新的技術(shù)來克服漏洞檢測工具的局限性。但是要克服這些局限性并不容易，因為它需要將傳統(tǒng)方式改為顛覆性的方法。關(guān)鍵在于釋放一些約束并將不同的方法結(jié)合起來以克服單個方法的局限性。

Acunetix AcuSensor就是一個商業(yè)技術(shù)的例子，它將黑盒掃描和測試執(zhí)行反饋結(jié)合起來。反饋來自于植入到目標應(yīng)用程序代碼中的傳感器（sensor）。Acunetix聲稱這種技術(shù)能夠發(fā)現(xiàn)更多的漏洞并能夠精確表明漏洞在代碼中的位置，而且誤報也會更少。

一項最近提出的技術(shù)試圖以更小的侵入性實現(xiàn)類似的效果，它聯(lián)合使用攻擊簽名和接口監(jiān)控來克服滲透測試對注入攻擊漏洞測試的局限性。¹¹這是一種黑盒測試技術(shù)，因為它只會監(jiān)控應(yīng)用程序和漏洞相關(guān)資源的接口（如數(shù)據(jù)庫接口）。

Analysis and Monitoring for Neutralizing SQL-Injection Attacks（Amnesia）工具組合了靜態(tài)分析和運行時監(jiān)控來檢測SQL注入攻擊。¹²它對Web應(yīng)用的源碼進行靜態(tài)分析，構(gòu)建一個由應(yīng)用生成的合法查詢模型。在運行時，它監(jiān)控動態(tài)生成的查詢，檢查是否與靜態(tài)生成的模型相符。這個工具認為違反模型的查詢?yōu)楣舨⒆柚顾L問數(shù)據(jù)庫。

為了應(yīng)對Web應(yīng)用安全的新威脅，開發(fā)流程必須也要有所進展。例如，微軟安全開發(fā)生命周期（Microsoft Security Development Lifecycle）完善了公司的開發(fā)流程并特別針對安全問題的解決，例如明確了開發(fā)團隊的安全培訓(xùn)。¹³按照微軟的說法，這個流程的采納減少了軟件中的安全缺陷。盡管這只是一個例子，但是它表明在這個行業(yè)中，對軟件開發(fā)執(zhí)行安全流程是很重要的事情。

在整個軟件產(chǎn)品的開發(fā)和部署生命周期中，開發(fā)人員必須要考慮安全性。他們必須要使用安全編碼的最佳實踐、執(zhí)行足夠的安全測試并使用安全檢測系統(tǒng)在運行時保護應(yīng)用程序。在這個任務(wù)中，開發(fā)人員需要得到一些幫助來獵取 需要的技術(shù)和能夠提高生產(chǎn)率的工具。

研究人員應(yīng)該提出創(chuàng)新的工具，能夠在開發(fā)過程中方便地使用并滿足部署時有效性和生產(chǎn)效率的要求。這個演變的中心是安全測試工具，對于檢驗和確認應(yīng)用程序以檢查安全漏洞來講，它們是至關(guān)重要的。不過，必須要探究 新的假設(shè)。一個可以預(yù)見的可能性就是開發(fā)編譯器，使其不僅能強制使用最佳編碼實現(xiàn)，還能自動化修改存在的安全漏洞。