NSA评出2017年度最佳网络安全科技论文

　　E安全12月30日讯美国局（NSA）第五届年度最佳网络安全科技论文出炉，题为《来源决定高度：信息来源对代码安全的影响》的研究论文脱颖而出。

　　想编写出更安全的代码？别再去浏览网上论坛了，应该花些时间认真研读编程文档或书籍。这是美国局（NSA）第五届年度最佳网络安全科技论文《来源决定高度：信息来源对代码安全的影响》的观点。

　　在目前广泛使用的大量移动应用中，有许多在安全方面做得较差，例如过度获取权限、使用加密API时存在各种错误、部件间通信不够安全、信息未存放在私密区等。究其根本原因，可能是API太复杂，而且其相关文档阐述不够充分，也可能是开发人员缺乏经验、不够专注。先前有报告指出，在遇到不熟悉的安全问题时，开发人员经常使用搜索引擎在网上找答案，所得到的结果经常来自API文档、博客帖子或论坛（例如StackOverflow）。曾有开发人员因使用来自StackOverflow论坛的代码而导致编写出的程序易遭受中间人。

　　由萨尔大学和美国马里大学的研究团队撰写的这篇获论文，最初发表在第37届IEEE安全与隐私研讨会上。这项研究发现，程序员对的选择影响其编写程序的能力，依赖网上论坛的程序员通常能更迅速地完成任务，但编写出的程序安全性较差；使用文档的程序员虽然编程速度慢，但程序安全性好。文档在用户友好性方面有待提高。如果以书籍作为参考文献，能够在编程速度和程序安全性之间获得较好的平衡，但在该团队的研究中，只有1位程序员自愿选择书籍作为参考文献。评选委员会认为，该论文很有价值，因为作者找到了当前实践的盲点，也展示了严谨的学风。一位专家评审员对这篇论文赞誉有加，称其是“近年来领域内最有伟大的研究之一”。

　　“年度最佳网络安全科技论文评选”由NSA研究处主办，旨在支持和鼓励网络安全领域的研究，促使因特网更安全、更可信。目前，第六届年度最佳网络安全科技论文评选的提名工作已经开始，评选范围是2017年发表的网络安全研究论文。