安全开发的核心思路.docxVIP

安全开发的核心思路 在过去的几年中，攻击属性已经改变，安全漏洞也有了明显而且持续地 增多。在安全问题成为客户优先考虑处理的问题的同时，安全问题也变 成了可以影响采购决策的一项市场化标志。通过降低停机时间和其它成 本，培养软件安全意识有助于削减总持有成本。此外，良好的软件安全 性还有助于帮您最大限度上降低遵从法律法规相关的成本。 威胁建模可以帮助您确定要降低风险，应该把资源用在哪些地方。威胁 建模可以帮助您平衡安全性与设计目标之间的关系，从而在您的应用程 序设计环境中实施有效的安全对策。 过去，安全性问题都集中在系统的边界安全方面。然而，多年来，攻击 属性已经发生了变化。作为第一道防线，网络安全仍然非常重要。但， 在确保您网络安全性以外，您还必须要解决在您网络上运行的软件的安 全性问题。 大多数安全漏洞都是由额外〃功能或者”含有副作用〃功能造成的。 额外功能包括，开发商故意添加，但通常不会向用户公开的行为；而副 作用功能则指的是纯粹的意外功能，软件从来就应该以那种方式去工 作。维恩图显示，应用程序通常有两种行为：预期行为（用蓝色圆圈表 示）和实际行为（用白色圆圈表示）。预期和实际行为之间的重叠部分 代表的是能够安全、遵照设计运行的应用程序的那些功能。 传统的bug通常出现在应用程序的某一部分无法正常运行的情况下- 也就是说，设计的行为没有正常发生。但，大多数的安全漏洞都是由被 附加的、没有在程序设计或规格中规定的额外功能，或在发布之前，从 来没有被发现的副作用造成的。由于在传统的测试过程中没有发现这些 额外的、意料之外的行为，因此应用程序被发布给客户时可能很容易受 到攻击。 从图表中，您可以看到，1999年到2002年软件安全漏洞数目增加了 一倍。为响应安全需要，微软、IBM、思科等公司于2002年对其构建 软件的方式进行了更改。他们在软件开发生命周期的各个阶段都对安全 性提高了重视。霍华德和勒布朗所著的编写安全代码”等书籍对开发 人员创建安全软件提供了帮助。由于这些著名企业采取了软件安全措 施，从而带动了全行业对软件安全的认识。这种认识对电子商务网站等 快速生产环境产生了迅速影响，并且也促成了新安全漏洞数量的下降。 在产品新版本取代旧版本的情况下，这种趋势一直继续着。企业、政府 和供应商都意识到，他们只有以一种新的方式来处理软件缺陷、要求和 发展，才能满足在安全方面具有远见卓识的消费者。这种开发安全代码 的需求加大了软件开发人员和测试人员的工作压力。 2005年，公布的漏洞数量较2004年几乎增加了一倍，随后在2005 年到2006年又有一个急速增长。鉴于每年增加的安全漏洞，软件安全 性对消费者来说变得越来越重要了。 2006年以后，漏洞数量的降低可能要归功于微软等大型软件供应商采 取了改进的开发实践。 随着软件安全性越来越重要，软件安全也成为客户眼中的一个有效的市 场指标。现在在购买软件之前，客户经常会提出的各种问题：软件部署 的成本多高？安全漏洞会对系统造成怎样影响？软件是否需要经常进 行打补丁 ？这些补丁需要是否会用于培训和维护的成本？这些问题的 答案可以让客户能够了解总的持有成本有多高。 一个软件Bug就可能产生黑客可以利用的无数个安全漏洞。而对该漏 洞进行响应和修复的成本很可能达数十亿美元。此外，攻击者还可能对 客户和消费者带来极大的痛苦，让您的企业陷入难以言喻的尴尬境地。 软件安全的三个主要原则是机密性、完整性和可用性-简称CIA三原 则。当CIA三原则的任何部分受到威胁时，软件的安全性都会受到影响。 进而，这种安全性丧失也可能对您或您的客户的业务产生影响。