筆者之前看過(guò)一篇文章寫(xiě)得很好，里面提及了會(huì)寫(xiě)程序的有很多人，但是會(huì)寫(xiě)安全程序卻沒(méi)有幾個(gè)。 

而如果在開(kāi)發(fā)初期就將安全問(wèn)題納入規(guī)劃，成本是***的! 

在開(kāi)發(fā)階段就落實(shí)正確而安全的程序?qū)懛?，是最徹底解決的辦法! 

當(dāng)上線之后，才發(fā)現(xiàn)程序本身就不安全，那么可能為時(shí)已晚。 

在你還沒(méi)找到補(bǔ)破洞的方法之前，資料也許已經(jīng)泄漏出去了! 

面對(duì)新版的”個(gè)人資料保護(hù)法”勢(shì)在必行，企業(yè)不得不正視Web應(yīng)用程序的安全問(wèn)題。然而，企業(yè)面臨的難題在于，企業(yè)內(nèi)部的安全人員大多是IT基礎(chǔ)架構(gòu)的成員，過(guò)去聽(tīng)到的”安全”話題，多是網(wǎng)管或系統(tǒng)管理組的負(fù)責(zé)領(lǐng)域。 

關(guān)于應(yīng)用程序面的安全，企業(yè)的了解相對(duì)而言很有限，而開(kāi)發(fā)人員本身更不用說(shuō)。我們一般會(huì)問(wèn)”你會(huì)不會(huì)寫(xiě)程序”，少見(jiàn)詢問(wèn)”你會(huì)不會(huì)寫(xiě)‘安全的’程序”。 

程序設(shè)計(jì)師在技能養(yǎng)成的過(guò)程中，就不曾接觸過(guò)相關(guān)話題，據(jù)了解，直至今日的大專(zhuān)院校仍少見(jiàn)”安全的程序開(kāi)發(fā)”相關(guān)課程。 

再加上專(zhuān)案時(shí)程緊湊，能夠準(zhǔn)時(shí)、無(wú)誤又符合需求地交付上線，就是很不容易的事情，因此”安全”更是無(wú)暇顧及的事情。現(xiàn)在資訊主管要求開(kāi)發(fā)者寫(xiě)”安全的程序代碼”，幾乎是緣木求魚(yú)。 

弱點(diǎn)在開(kāi)發(fā)早期解決，成本*** 

該怎么處理這樣的問(wèn)題?許多對(duì)安全敏感性較高的產(chǎn)業(yè)，早已選擇滲透測(cè)試，請(qǐng)安全專(zhuān)家以黑客的手法檢驗(yàn)網(wǎng)站的安全性。然而滲透測(cè)試費(fèi)用不低，無(wú)法頻繁地執(zhí)行，一般而言，是一年1至2次，所以無(wú)法時(shí)時(shí)把關(guān)安全性。 

因此，市面上也出現(xiàn)了”靜態(tài)程序代碼安全性檢測(cè)”及”動(dòng)態(tài)程序代碼安全性檢測(cè)”工具，希望幫助企業(yè)在安全意識(shí)不足的情況下，透過(guò)工具的自動(dòng)化掃描，抓出安全性漏洞，并提供弱點(diǎn)解說(shuō)與修正建議，進(jìn)而學(xué)會(huì)處理的方式。 

動(dòng)態(tài)程序代碼檢測(cè)工具及滲透測(cè)試都是在模擬黑客的手法，嘗試找到網(wǎng)站的弱點(diǎn)，并提供相關(guān)報(bào)告。這種作法比靜態(tài)程序代碼安全性檢測(cè)全面，因?yàn)榭梢宰コ霾僮飨到y(tǒng)、應(yīng)用服務(wù)器的漏洞，及設(shè)定面問(wèn)題。 

不過(guò)，靜態(tài)程序代碼安全性掃描工具的強(qiáng)項(xiàng)在于，能地毯式地掃描程序代碼、抓出不安全的寫(xiě)法，并提供修正建議，是從根源就做好防護(hù)的安全性作法。 

畢竟軟件上線后才發(fā)現(xiàn)問(wèn)題，再去解決的成本是開(kāi)發(fā)階段的100倍。 

OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美國(guó)年會(huì)上，開(kāi)宗明義說(shuō)道：”很多單位把大部分的安全預(yù)算花在‘黑(Hacking)’，也就是做滲透測(cè)試跟掃描。這沒(méi)什么錯(cuò)，這些工作是重要的，但是我們沒(méi)辦法把自己‘黑’得更安全?！?nbsp;

在開(kāi)發(fā)階段就落實(shí)正確而安全的程序?qū)懛ǎ亲顝氐椎慕鉀Q辦法。若再搭配滲透試，可進(jìn)一步驗(yàn)證成效。

【編輯推薦】

1. 如何評(píng)估和使用Web應(yīng)用程序安全測(cè)試工具？
2. Web安全系列：用WVS保障Web應(yīng)用程序安全