http://www.ithome.com.tw/001/20091225/index2_2.html
我覺得這篇文章說的很好,一針見血!
會寫程式的很多人,但是會寫安全的程式有幾個人?
開發初期就將安全問題納入考量,成本是最低的!
在開發階段就落實正確而安全的程式寫法,是最徹底解決的辦法!
面對新版的「個人資料保護法」勢在必行,企業不得不正視Web應用程式的安全問題。然而,企業面臨的難題在於,內部的資安人員大多是IT基礎架構的成員,過去聽到的「資安」議題,多是網管或系統管理組的負責領域。
關於應用程式面的資安,企業的了解相對而言很有限,而開發人員本身更不用說。我們一般會問「你會不會寫程式」,少見詢問「你會不會寫『安全的』程式」。
程式設計師在技能養成的過程中,就不曾接觸過相關議題,據了解,直至今日的大專院校仍少見「安全的程式開發」相關課程。
再加上專案時程緊湊,能夠準時、無誤又符合需求地交付上線,就是很不容易的事情,因此「安全」更是無暇顧及的事情。現在資訊主管要求開發者寫「安全的程式碼」,幾乎是緣木求魚。
弱點在開發早期解決,成本最低
該怎麼處理這樣的問題?許多對資安敏感性較高的產業,早已選擇滲透測試,請資安專家以駭客的手法檢驗網站的安全性。然而滲透測試費用不低,無法頻繁地執行,一般而言,是一年1至2次,所以無法時時把關安全性。
因此,市面上也出現了「靜態程式碼安全性檢測」及「動態程式碼安全性檢測」工具,希望幫助企業在資安意識不足的情況下,透過工具的自動化掃描,抓出安全性漏洞,並提供弱點解說與修正建議,進而學會處理的方式。
動態程式碼檢測工具及滲透測試都是在模擬駭客的手法,嘗試找到網站的弱點,並提供相關報告。這種作法比靜態程式碼安全性檢測全面,因為可以抓出作業系統、應用伺服器的漏洞,及設定面問題。
不過,靜態程式碼安全性掃描工具的強項在於,能地毯式地掃描程式碼、抓出不安全的寫法,並提供修正建議,是從根源就做好防護的安全性作法。
畢竟軟體上線後才發現問題,再去解決的成本是開發階段的100倍。
OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美國年會上,開宗明義說道:「很多單位把大部分的資安預算花在『駭(Hacking)』,也就是做滲透測試跟掃描。這沒什麼錯,這些工作是重要的,但是我們沒辦法把自己『駭』得更安全。」
在開發階段就落實正確而安全的程式寫法,是最徹底的解決辦法。若再搭配滲透試,可進一步驗證成效。
留言列表
