在源代碼級別開發一種更好的方法來解決漏洞

加州大學圣塔芭芭拉分校計算機科學教授喬凡尼·維格納(Giovanni Vigna)認為，通常需要在現有系統中嵌入的程序中修補問題，以引入或增強安全性。“但是，你為什么要這么做?” 他反問道。“為什么不只是編寫其他程序?”

他回答說：“因為有時這是不可能的，否則將需要非常大的努力。” “有時，您會得到一個要修補的程序，而您沒有源代碼可以在該級別修改它并重新編譯它。”

普渡大學的助理教授安東尼奧·比安奇(Antonio Bianchi)說：“許多嵌入式計算機系統，例如卡車，飛機和醫療設備中的嵌入式計算機系統，都在無法使用其源代碼和原始編譯工具鏈的軟件上運行。”在UCSB攻讀博士學位。“已知在這些系統中運行的許多舊軟件組件都包含漏洞，但修補它們并非總是容易甚至不可能的。”

UCSB網絡安全中心主任Vigna和Bianchi是UCSB，Purdue和瑞士洛桑聯邦理工學院(EPFL)的一組研究人員，他們獲得了為期四年，耗資390萬美元的國防高級研究計劃局( DARPA授予一項名為“ Assured Micropatching”的項目的資金，該項目旨在改善易受攻擊的嵌入式系統中的代碼補丁過程。

Bianchi說：“沒有源代碼，修補漏洞需要直接編輯二進制代碼。” “此外，即使在已打補丁的系統中，也無法保證補丁不會干擾設備的原始功能。由于這些困難，他說，嵌入式系統中運行的代碼通常不打補丁，甚至當它被稱為脆弱的時候。”

在這種情況下，Vigna解釋說：“您需要以不同的方式查看程序;您需要查看二進制代碼，機器代碼，實際確定程序行為的一和零。但是直到最近，二進制程序在很大程度上被認為是靜態的;也就是說，一旦有了已編譯的程序，想法就就改變了，該程序就無法更改。有趣的是，在過去，通常只有惡意行為者會專注于修改二進制文件以感染良性二進制程序。”

但是在該領域的發展過程中，已經開發出了使二進制程序視為可延展實體的技術，Vigna說：“您可以修改，分解并重新組合在一起。”