小欣：这节课，张雪松老师会为我们讲解程序开发过程中每个环节产生漏洞的可能。

张雪松：我们就拿程序开发这个过程来分析下。相信大家大部分受到入侵攻击的也都是企业信息系统，这些信息系统的程序开发会经历很多过程：开发人员编写代码；每个人员编写完代码后自己会进行单元测试；测试完了之后多人会把代码进行整合；整合完成之后再进行一个上线测试；最终再发布上线。其实每一个环节都有一些不可避免的风险会产生漏洞。

比如说开发人员，我们很多开发人员是不懂安全技术的也不是安全专家。只会实现功能所以他有很多点思考不到，如果说开发人员不懂这些安全技术的话，他做出来的程序本身就会有大量的漏洞。

再说单元测试，通常企业里只做功能和性能测试但不会做安全测试。即使我们单元测试做的非常充分，但代码整合阶段也会由于不同开发人员、不同的逻辑、不同的思维而产生的整合会有非常多的逻辑漏洞。

最后的上线环节为什么还会出现漏洞风险？有个案例，苹果的开发工具发布的很多苹果的App也发现了恶意代码，为什么呢？

就是因为开发这些的程序员他们用的编写代码的软件被插入了恶意代码，这样发布出来的程序自然也是带有恶意代码的。所以我们单就程序开发、网站开发这样的过程，就会有诸多的环节产生漏洞风险，那其他过程我们就更无法确保不会产生风险了。

小欣：下节课，张雪松老师会为我们讲解漏洞的发展历程。

【版权归钛媒体所有，未经许可不得转载】