从瞻博到Fortinet再到思科，众多企业的在售解决方案都包含着硬编码通行码，而这或将给企业客户带来严重的安全风险。

这项常见的开发者漏洞不仅广泛存在，而且在短时间内似乎也不太可能被彻底解决，Immunity公司威胁情报负责人Alex McGeorge指出。

 

遗憾的是，硬编码密码属于一项难以解决的内在问题，McGeorge指出。“目前还没有一种理想的解决办法。人们因此而长期受到安全困扰，但其直到当下仍是一项安全难题。”

各大网络设备制造商已经成为主要目标，各企业开发团队也在以谨慎的态度保护自己的源代码——具体来讲，这些代码已经成为其立足的根基。“我们发现思科公司起诉华为窃取其源代码，并在自有品牌的产品当中加以使用，”McGeorge表示。

这些实例切实证明，各供应商害怕自己亲手编写的源代码成果被反过来用于同自身竞争。“各供应商不愿让任何外部人士访问其源代码，但由此带来的结果就是软件方案面临严重安全风险，”McGeorge解释称。

客户与供应商之间存在着固有的信任关系，而且他们相信供应商不会在产品当中添加后门——不过部分安全从业者已经将此视为一种潜在可能性。“瞻博公司就面临着这样的问题。他们无法忽略这种问题的出现机率，”McGeorge指出。

有些人会悄悄利用硬编码密码建立一道后门，从而保证其顺利登录并修改部分加密变量。这种作法非常危险，McGeorge表示，“特别是考虑到大家能够在瞻博的防火墙与其它基础设施之间发动中间人攻击，从而对流量进行解密。”

这是一类尚不具备切实解决方案的问题。大多数用户选择信任瞻博，并假定这类行为源自他人之手。当然，他们花了几年时间才最终确定这项结论。

“作为客户，我们能做的其实非常有限。大家无法审计源代码，因为其在法律层面上并不需要公开。我们只能要求瞻博方面承担这项审计成本，或者要求他们将源代码交由第三方进行审计并公布相关结果，”McGeorge表示。

专门负责软件评估与代码审计的白帽安全企业Casaba Security公司联合创始人Chris Weber指出，已发布产品中的密码能够被轻易找到，因为它们会随产品一同放出。“某些能够访问该产品的人完全可以对固件或者软件进行分解，从而轻松找出密码内容。这种内置密码藏得不深，剖析起来也很容易，”Weber指出。

(责任编辑：安博涛)