提高軟件安全性的三個策略

隨著企業(yè)數(shù)字化轉(zhuǎn)型，應(yīng)用軟件的使用場景大大增加。應(yīng)用軟件可以幫助企業(yè)實現(xiàn)數(shù)字化轉(zhuǎn)型，提高內(nèi)部運(yùn)營效率增強(qiáng)市場競爭力。然而使用更多的應(yīng)用軟件也為企業(yè)安全帶來一定隱患。隨著各項法規(guī)的制定及實施，提高軟件安全成為保障網(wǎng)絡(luò)安全的基礎(chǔ)手段。

《 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)對軟件安全提出要求。對于自行研發(fā)的軟件，應(yīng)確保在軟件開發(fā)過程中對安全性進(jìn)行測試，在軟件安裝前對可能存在的惡意代碼進(jìn)行檢測。對于外包軟件開發(fā)，應(yīng)在軟件交付前檢測軟件質(zhì)量和其中可能存在的惡意代碼。

2023年5月1日起施行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(GB/T 39204-2022)中，供應(yīng)鏈安全不僅關(guān)注運(yùn)行時的軟件安全，軟件源代碼需要進(jìn)行安全檢測，防止供應(yīng)鏈中的惡意代碼、后門等安全問題對企業(yè)造成損失和危害。

不安全的軟件代碼是普遍存在的，因此需要企業(yè)制定計劃并且去進(jìn)行檢測，為其產(chǎn)品的安全負(fù)責(zé)。

漏洞的根源

不安全的軟件通常從一開始就存在缺陷。“缺陷”是在編寫代碼時引入的問題，可能導(dǎo)致“漏洞”，形成軟件代碼中可利用的條件，為攻擊打開大門。缺陷會隨著時間的推移而累積，從而導(dǎo)致“安全債務(wù)”，即在應(yīng)用程序的生命周期內(nèi)無法修復(fù)的缺陷。安全債務(wù)是DevSecOps興起的重要驅(qū)動力，DevSecOps在整個軟件開發(fā)生命周期中集成了安全性。

根據(jù)Veracode的“軟件安全現(xiàn)狀”研究報告，通過超過750，000個應(yīng)用程序的靜態(tài)分析中提取的數(shù)據(jù)，對導(dǎo)致缺陷引入的因素進(jìn)行了細(xì)致的研究。

研究發(fā)現(xiàn)，無論規(guī)模大小，前五年的申請數(shù)量都以每年40%左右的速度穩(wěn)定增長。但新缺陷引入的速度遵循不同的模式。當(dāng)新應(yīng)用程序啟動時，缺陷的數(shù)量會急劇下降，這很可能是由于最初的掃描發(fā)現(xiàn)了累積的缺陷。然后，在第一年半期間，近80%的應(yīng)用程序沒有引入新的缺陷。然而，接下來的時間里，缺陷的引入穩(wěn)步增長，直到第5年左右趨于平穩(wěn)。

發(fā)現(xiàn)的常見缺陷結(jié)果因掃描類型不同而有所差異，因為靜態(tài)檢測、動態(tài)檢測和軟件成分分析涉及不同的技術(shù)，可以檢測到不同的問題，因此說明使用多種檢測的重要性。此外和檢測頻率也有關(guān)系。

更安全的軟件

從一開始就防止引入所有缺陷是不切實際的，但可以通過一些方法讓軟件更加安全。

首先，盡早盡快修復(fù)安全缺陷。當(dāng)軟件使用兩年時，可以觀察到軟件積累越來越多地缺陷。由于軟件的復(fù)雜性隨著時間的推移而增加，而對軟件安全性關(guān)注的降低，這段時間缺陷呈上升趨勢。

其次，考慮自動化和培訓(xùn)開發(fā)人員。通過使用自動化工具在開發(fā)人員編寫代碼時發(fā)現(xiàn)代碼中的缺陷及漏洞，通過修復(fù)建議及缺陷定位可以及時修復(fù)問題。通過培訓(xùn)開發(fā)人員了解常見缺陷及如何引入缺陷降低此類缺陷數(shù)量。

最后，建立應(yīng)用程序生命周期管理。從應(yīng)用程序的概念和規(guī)劃階段開始，經(jīng)過設(shè)計、開發(fā)、測試、部署、運(yùn)行和維護(hù)等不同階段進(jìn)行管理。不僅有助于提高應(yīng)用程序的質(zhì)量、可靠性和效率，同時也有助于降低開發(fā)和維護(hù)成本。通過有效的管理，可以更好地滿足用戶需求，并快速響應(yīng)市場的變化。

嚴(yán)謹(jǐn)是要求

在當(dāng)今的安全環(huán)境中，軟件安全至關(guān)重要。隨著國家對網(wǎng)絡(luò)安全關(guān)注增加并不斷推出法律法規(guī)，對軟件開發(fā)企業(yè)來說，，確保軟件的安全性已經(jīng)成為一項重要任務(wù)。了解缺陷是如何產(chǎn)生的，以及如何修復(fù)缺陷，可以幫助確保軟件產(chǎn)品的安全性和可行性。

參讀鏈接：

https://www.darkreading.com/application-security/3-strategies-for-bringing-rigor-to-software-security