您现在的位置是:首页 > IT基础架构 > 网络与安全 >

企业难题之落实应用程序开发安全性

2010-01-25 19:41:00作者: 来源:

摘要笔者之前看过一篇文章写得很好,里面提及了会写程序的有很多人,但是会写安全程序却没有几个。 ...

笔者之前看过一篇文章写得很好,里面提及了会写程序的有很多人,但是会写安全程序却没有几个。 

而如果在开发初期就将安全问题纳入规划,成本是最低的! 

在开发阶段就落实正确而安全的程序写法,是最彻底解决的办法! 

当上线之后,才发现程序本身就不安全,那么可能为时已晚。 

在你还没找到补破洞的方法之前,资料也许已经泄漏出去了! 

面对新版的”个人资料保护法”势在必行,企业不得不正视Web应用程序的安全问题。然而,企业面临的难题在于,企业内部的安全人员大多是IT基础架构的成员,过去听到的”安全”话题,多是网管或系统管理组的负责领域。 

关于应用程序面的安全,企业的了解相对而言很有限,而开发人员本身更不用说。我们一般会问”你会不会写程序”,少见询问”你会不会写‘安全的’程序”。 

程序设计师在技能养成的过程中,就不曾接触过相关话题,据了解,直至今日的大专院校仍少见”安全的程序开发”相关课程。 

再加上专案时程紧凑,能够准时、无误又符合需求地交付上线,就是很不容易的事情,因此”安全”更是无暇顾及的事情。现在资讯主管要求开发者写”安全的程序代码”,几乎是缘木求鱼。 

弱点在开发早期解决,成本最低 

该怎么处理这样的问题?许多对安全敏感性较高的产业,早已选择渗透测试,请安全专家以黑客的手法检验网站的安全性。然而渗透测试费用不低,无法频繁地执行,一般而言,是一年1至2次,所以无法时时把关安全性。 

因此,市面上也出现了”静态程序代码安全性检测”及”动态程序代码安全性检测”工具,希望帮助企业在安全意识不足的情况下,透过工具的自动化扫描,抓出安全性漏洞,并提供弱点解说与修正建议,进而学会处理的方式。 

动态程序代码检测工具及渗透测试都是在模拟黑客的手法,尝试找到网站的弱点,并提供相关报告。这种作法比静态程序代码安全性检测全面,因为可以抓出操作系统、应用服务器的漏洞,及设定面问题。 

不过,静态程序代码安全性扫描工具的强项在于,能地毯式地扫描程序代码、抓出不安全的写法,并提供修正建议,是从根源就做好防护的安全性作法。 

毕竟软件上线后才发现问题,再去解决的成本是开发阶段的100倍。 

OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美国年会上,开宗明义说道:”很多单位把大部分的安全预算花在‘黑(Hacking)’,也就是做渗透测试跟扫描。这没什么错,这些工作是重要的,但是我们没办法把自己‘黑’得更安全。” 

在开发阶段就落实正确而安全的程序写法,是最彻底的解决办法。若再搭配渗透试,可进一步验证成效。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们