筆者之前看過一篇文章寫得很好，里面提及了會寫程序的有很多人，但是會寫安全程序卻沒有幾個。

而如果在開發(fā)初期就將安全問題納入規(guī)劃，成本是***的!

在開發(fā)階段就落實正確而安全的程序?qū)懛ǎ亲顝氐捉鉀Q的辦法!

當上線之后，才發(fā)現(xiàn)程序本身就不安全，那么可能為時已晚。

在你還沒找到補破洞的方法之前，資料也許已經(jīng)泄漏出去了!

面對新版的”個人資料保護法”勢在必行，企業(yè)不得不正視Web應用程序的安全問題。然而，企業(yè)面臨的難題在于，企業(yè)內(nèi)部的安全人員大多是IT基礎架構(gòu)的成員，過去聽到的”安全”話題，多是網(wǎng)管或系統(tǒng)管理組的負責領域。

關于應用程序面的安全，企業(yè)的了解相對而言很有限，而開發(fā)人員本身更不用說。我們一般會問”你會不會寫程序”，少見詢問”你會不會寫‘安全的’程序”。

程序設計師在技能養(yǎng)成的過程中，就不曾接觸過相關話題，據(jù)了解，直至今日的大專院校仍少見”安全的程序開發(fā)”相關課程。

再加上專案時程緊湊，能夠準時、無誤又符合需求地交付上線，就是很不容易的事情，因此”安全”更是無暇顧及的事情?，F(xiàn)在資訊主管要求開發(fā)者寫”安全的程序代碼”，幾乎是緣木求魚。

弱點在開發(fā)早期解決，成本***

該怎么處理這樣的問題?許多對安全敏感性較高的產(chǎn)業(yè)，早已選擇滲透測試，請安全專家以黑客的手法檢驗網(wǎng)站的安全性。然而滲透測試費用不低，無法頻繁地執(zhí)行，一般而言，是一年1至2次，所以無法時時把關安全性。

因此，市面上也出現(xiàn)了”靜態(tài)程序代碼安全性檢測”及”動態(tài)程序代碼安全性檢測”工具，希望幫助企業(yè)在安全意識不足的情況下，透過工具的自動化掃描，抓出安全性漏洞，并提供弱點解說與修正建議，進而學會處理的方式。

動態(tài)程序代碼檢測工具及滲透測試都是在模擬黑客的手法，嘗試找到網(wǎng)站的弱點，并提供相關報告。這種作法比靜態(tài)程序代碼安全性檢測全面，因為可以抓出操作系統(tǒng)、應用服務器的漏洞，及設定面問題。

不過，靜態(tài)程序代碼安全性掃描工具的強項在于，能地毯式地掃描程序代碼、抓出不安全的寫法，并提供修正建議，是從根源就做好防護的安全性作法。

畢竟軟件上線后才發(fā)現(xiàn)問題，再去解決的成本是開發(fā)階段的100倍。

OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美國年會上，開宗明義說道：”很多單位把大部分的安全預算花在‘黑(Hacking)’，也就是做滲透測試跟掃描。這沒什么錯，這些工作是重要的，但是我們沒辦法把自己‘黑’得更安全。”

在開發(fā)階段就落實正確而安全的程序?qū)懛ǎ亲顝氐椎慕鉀Q辦法。若再搭配滲透試，可進一步驗證成效。
 

【編輯推薦】

1. 企業(yè)需要在應用程序開發(fā)時保證數(shù)據(jù)安全
2. 2009網(wǎng)絡災難年：數(shù)據(jù)安全不能承受之輕
3. 怎樣使數(shù)據(jù)備份更安全