安全编码为应用软件增加免疫力
多数企业的安全团队和开发团队都在单独工作,安全问题似乎只是安全团队的职责。仅靠安全团队就能确保开发的软件安全了吗?答案是否定的。在获取解决方案之前,让我们一起来看看,安全团队都在做哪些工作。
检查所有代码的安全性缺陷,并将其报告给开发团队进行修复。
在你的安全开发生命周期中执行严格的同行审查程序。
由内部或外部安全团队定期进行应用程序评估/渗透测试。
实现扫描工具以发现漏洞。
在提高软件安全性上,这些方式都不错。但这些方法也很昂贵,并且类似于每次生病都要服用一轮抗生素。这不仅带来很高的成本,而且随着时间的推移作用会逐渐减弱,并削弱你的免疫能力。
那么如何提高软件自身“免疫力”呢?
这要从减少软件安全漏洞说起。数据显示超过六成的安全漏洞与代码有关,安全编码意味着安全更安全的软件,更稳妥的软件运行环境。可想而知,加强代码安全是提高软件自身安全性和网络安全性的有效途径。
但安全人员并不负责编写应用程序运行的代码,开发人员在开发这些软件时是否考虑了安全问题?
尽管我们一再强调安全编码,但现实中安全代码培训往往并不能切实影响到开发人员的日常工作,其作用也仅限证明了开发人员已接受安全培训,或者为了符合行业标准,而并非让开发人员真正保留这些知识。
期望开发人员不犯错误是不现实的,但可以为他们提供便捷方式,如静态代码检测工具等帮助开发人员发现错过的安全漏洞和缺陷,提高代码安全性。
软件漏洞就像病原体
一次成功的网络攻击来自于脆弱的软件系统,可以严重削弱一个企业的能力。但如果开发人员首先在可控的情况下发现系统中的安全漏洞,并及时有效对其进行修正,不但可以提高开发人员的安全编码意识,还能建立软件对威胁的免疫力。
从源头提高软件开发的免疫力
一个人不可能防止所有的安全问题,为了软件得到最好的保护,越多的人了解和发现安全漏洞,就越有可能阻止这些问题。确保安全编码不但有利于构建安全的SDLC,而且由代码引发的安全漏洞将会在开发阶段被”消灭“。这也意味着开发人员可以花更多的时间去创造和改进那些让我们的世界更美好的软件。
参读链接:
https://zh.securecodewarrior.com/blog/secure-development-appsecs-immune-system