咨询安软件开发安全与运维评估效率探究.PDFVIP

咨询 安 软件开发安全与运维 服 评估 效率探究 培训 主讲人：栾浩 审计 1 01 软件安全概述 目录 02 软件开发生命周期与IT运维 CONTENTS 03 如何解决软件的安全问题 2 01 软件安全概述 3 软件开发的安全问题 软件开发常常以功能优先，而不是安全优先。实际上，软件内的缺陷从一 开始就导致了绝大多数的弱点，人们倾向于通过周边设备而非软件自身解 决安全问题，原因如下： • 过去，在软件开发阶段，安全不是重要的考虑因素，而现在还有很多编 程人员并不进行这方面的考虑。 • 许多安全从业人员往往不是软件开发人员 • 很多软件开发人员并没有将安全视为重点. • 软件厂商为了将产品投入市场往往注重的是功能方面而不是安全方面。 • 人们习惯接受有Bug的软件，然后再应用安全补丁进行修补。 • 客户无法控制其购买的软件中缺陷，因此不得不依赖于边界安全。 4 软件安全漏洞 • 漏洞已经成为危害软件安全的主要因素 危及用户对软件的信任、业务运营，还会危及一系列关键基础设施和应用， 通过在软件开发生命周期各阶段采取必要的、相适应的安全措施来避免绝大 多数的安全漏洞。采取措施只能有效减少，但并不能完全杜绝所有的安全漏 洞。 • 漏洞普遍存在 普通软件工程师，每千行代码（KLOC） 存在20个缺陷 由于采用严格的软件开发质量管理机制和多重测试环节，软件公司的缺陷率 （每千行代码） 普通软件开发公司的缺陷密度为4 ～40个缺陷 高水平的软件公司的缺陷密度为2 ～4个缺陷 美国NASA的软件缺陷密度可达到0.1个缺陷 5 震网病毒 • 美军震网病毒攻击伊朗布什尔核电站，利用四个windows漏洞和西门 子公司SIMATIC WinCC系统两个0day漏洞实现，使伊朗核计划延迟了 数年。 6 网站漏洞造成的用户信息泄露 7 极光攻击 1. 用户通过社会工程学中的目标攻击访问网站。 2. 网站被上传了可以自动利用IE漏洞的代码。 3. 恶意软件被下载并自动安装。 4. 恶意软件在能访问敏感数据的系统中打开一个后门。 8 Facebook软件安全漏洞遭利用引发数据泄露 Facebook公司2018年9月28 日证实，黑客利用三个软件安全漏洞，窃取 允许自动重新登录脸书平台