Watchfire公司停止其网络和基于主机的研究，仅仅致力于研究网络应用程序安全，以此来作为融入IBM的工作之一。IBM去年收购了渗透厂商 Waltham， Waltham已经成为IBM Rational的发展平台，它为程序开发者提供了工具，这些工具可以为面向服务的体系结构（SOA）系统和应用程序提供模拟、设计以及构建基于网络的体系结构。IBM Rational的安全研究经理Danny Allan说，Watchfire公司的研究团队正在将其网络和基于主机的研究交给IBM的网络安全系统(ISS)部门。 Allan过去是Watchfire公司的研究经理，在那里他负责监督公司策略。在接受Techtarget的采访时，他探讨了今后Watchfire公司研究的改变、最新的Web 2.0威胁、以及为何攻击者仍然关注于不太复杂的Web 1.0威胁。

　　人们主要关注一些最新版Web 2.0威胁的哪些方面？

　　Danny Allan：我们已经注意到两个方面发生了巨大变化。具体说来Web 2.0中出现了跨站脚本攻击（XSS）和跨站请求伪造（CSRF）。那是因为Web 2.0 和Ajax丰富的网络应用程序需要打开Java脚本。这就意味着跨站脚本更容易受到威胁。SQL注入是一种古老的攻击方式，它已经存在了许多许多年，但是由于配置了Web 2.0应用程序，SQL注入恢复了新的生机。之前，你有大量的单一可控性事务。在Web 2.0版中，攻击面已经相当零散。不存在单一的事务，相反可能有三个

或者四个异步一个接一个的事务要处理。因此，应用程序在许多不同地址接到输入，并且与数据库相互作用，这样导致了SQL注入的漏洞以及其它所有与零散攻击表面相关的漏洞。

 　　这些威胁会带来什么风险？看起来它似乎会使成熟的黑客攻击这些漏洞。

　　Allan: 虽然，任何一种时代的开端，都会有熟练的攻击者设计出复杂成熟的攻击工具。但是，慢慢的，这些生产出来的软件包会秘密地配置到恶意网站上。

　　因此，随着时间推移，脚本小子（script kiddies）可以获取到这些软件包。以后，准入门槛会变得越来越少。

　　我们需要注意的一点是，虽然我们谈论的都是关于这些漏洞和Web. 2.0，但是攻击者并不关注它们。无论如何，我们没有看到任何攻击是源于这些漏洞和Web. 2.0，我们现在也没有看到攻击者关注Web 2.0，这是因为最初的Web 1.0中存在许多问题，没有Ajax、SOAP、XML和远程过程调用。我们看到的仍旧是攻击Web 1.0，因为在攻击者看来，Web 1.0漏洞更多，更易于穿透。

　　这样说来，至少现在那些攻击者仍然对Web. 1.0感兴趣，并且还没有发现Web. 2.0的漏洞？

　　Allan: 对。如果我母亲仍然乐于回复邮件并给出其银行信息，那么攻击者就不需要花费更多时间，来开发一个复杂的开发工具。随着这些低级攻击渐渐失，企业越来越谨慎，毫无疑问，我认为攻击者终会将注意力转向攻击Web 2.0型，现在需要解决这个问题。

　　从被收购进入IBM以来，Watchfire公司的研究团队有什么改变？

　　Allan：自从收购以来，我们已经获得了大量的研究工作，尤其致力于Web应用、Ajax 和 Web 2.0 技术方面…。我们有大量的与Web应用程序有关的储存器问题、一些与网络有关、以及一些与主机有关。我们已经终止了一些网络和基于主机的研究，将这些工作移交给了ISS团队，他们反过来交给我们一些他们所专注的网络安全应用程序研究的工作。我们提供的信息主要以安全问题的广泛设置为主，这正是IBM所需要的。

　　能否谈一下是否会有一些彻底的改变？

　　Allan: 我们现在研究的重点主要是网络应用程序安全空间的解决方案。对我们而言，变化最快的是与IBM Rational产品设置的深入结合。不再仅仅从事于终端对终端的安全风险分析，现在我们想要做的是为控制软件质量提供综合的平台。安全问题实际上就是关于支付软件的质量问题。因此，我们正关注于将软件安全分析构建到软件开发生命周期之中。

　　随着整个行业趋向于使用面向服务的体系结构，许多公司正将网络服务引入其系统，看起来攻击者似乎可以利用这一点，是这样的吗？

　　Allan: 我们注意到许多公司关注Web 2.0和Web-based技术，主要有四个原因。第一个是社会需求——为了更多的合作，公司通常需要更多合作。每个人既是生产者又是消费者。第二是市场压力——面对B2B方向的市场压力，同样会产生需求。比如，我正在主办开发房地产方面的应用程序，这就需要将此与测绘技术结合起来。还有竞争优势——如果我的竞争对手提供了一个非常丰富的交互界面，那么我必须跟上他，拥有相同的技术，否则我就会失去客户。最后一点是竞争——我们现在拥有这些新的、非常丰富的交互式框架可以通过浏览器来提供经验。这一点与桌面经验非常相似，桌面经验已经相当成熟，但过去并不提供给我们。

　　如果某个公司打算使用一些Web 2.0的一些技术，他们应当考虑些什么？

　　Allan: 应用程序的一个有趣之处是，与网络基础结构不同，除非得到证明其有漏洞或存在安全问题，我们就假想它是安全的。在听说其存在漏洞之前，我们设想软件是安全的；有了漏洞，我们修补上，这样又是安全的。这有几分倒退的心理。如果我们谈论的是网络和基础结构，我们假想它可以被破坏，除非得到证明它是以一种相当坚固、有条理、并备有证明文件的方式建立起来的。企业有必要研究这些构建不同应用程序的不同方式。如果它是一种不供应现货的商产品，那么我就希望看到某种程度的保证，来确保该产品是安全的。这就是受到客户需求的驱动。如果你正在谈论软件即服务或者已经外包或离岸的软件，那么当务之急是该企业考虑服务水平协议，服务水平协议在安全领域并非唯一因素，还应考虑某种程度的保证：包括韵律学和方法学，以此来证明在软件开发生命周期和构建过程中均充分考虑了安全问题。对于内部构建的软件，要在生命周期的早期进行分析。你可以逐步增加，反复进行分析，这样就可以开发出更好的软件。