软件安全应该成为软件开发周期中的关键控制返回>>

即使是最好的软件也有漏洞,但通过在软件开发周期早期阶段的关键控制,软件公司可以像进行功能测试和质量保证一样检查安全漏洞

构建软件安全程序可以提高软件灵活性和开发者生产效率,但移动应用和开源组件的持续扩张会给很多软件公司带来更大挑战。

软件安全

软件开发人员及其项目领导将安全控制视为开发过程中的障碍,而软件开发人员可以在开发过程使用静态分析工具,以及学会如何避免漏洞。开发过程中发现的安全漏洞必须优先处理和修复,同时,整合安全漏洞与功能缺陷以及发现高风险漏洞可以让开发团队更容易地分配修复漏洞的责任。

目前软件开发已经发展到这样的情况:大多数定制应用开发会从使用开源资源开始,这些开源框架的选择是基于对库的安全风险的扫描结果的;我还有一些很酷的针对移动应用的新功能,用以应对移动应用分发系统中的特有的安全风险。

当使用经济利益作为推动因素时,推动软件安全程序会变成简单的工作。成功部署程序更多是关于改变行为,而不是部署技术,将安全作为软件质量的属性重新明确了开发领导者的角色(掌握过程和结果),而安全部门则负责设计控制和衡量有效性,这主要也是为了有助于开发领导者的工作。软件公司安全API(Enterprise Security API)等框架和开源组件选择及静态分析工具,可以防止漏洞进入应用构建过程,这消除了修复漏洞和缺陷的成本。其次,与在生产过程中发现漏洞相比,在质量保证中检测到漏洞,然后修复高优先级的缺陷,在时间方面更节省时,且成本更低。

我们正在尝试新的东西,我们将所有控制部署到web应用,并且基本上众包了应用的渗透测试来查看应用的情况。这意味着软件研究人员将会执行渗透测试,并与我们分享其结果。随着时间的推移,我们还会追踪漏洞密度,这些数据清楚地显示了开发人员的显著改进,因为他们使用了更好的工具来发现开发中的漏洞。

只要我们构建软件,在这个过程中就会发现漏洞以及提高其质量的机会。显然,投资于质量改进可以获得更好的经济性,但软件的完善将仍然还有很长的一段路要走。

陕西弈聪软件信息技术股份有限公司
电话:13679229477    15029073577
地址:陕西西安曲江会展国际F座15层