IBM安全研究高級(jí)架構(gòu)師Ryan Berg表示，金融服務(wù)業(yè)在推動(dòng)安全編碼實(shí)現(xiàn)上遠(yuǎn)遠(yuǎn)領(lǐng)先于其他產(chǎn)業(yè)，而其它的公司，包括一些規(guī)模較小的獨(dú)立軟件供應(yīng)商，并沒有為此做出努力。Berg表示，一個(gè)公司的首席執(zhí)行官可以改變這種狀況。Berg強(qiáng)調(diào)，如果首席執(zhí)行官承諾大幅改善軟件開發(fā)，并且有一定的預(yù)算支持，這將給整個(gè)軟件開發(fā)過程帶來更多積極有利的變化。在此次采訪中，Berg列出了一些可能導(dǎo)致安全威脅的領(lǐng)域，并解釋了公司如何才能逐步提升自己的軟件開發(fā)過程，以及從哪些發(fā)展模式中可獲得指導(dǎo)。

我們了解到大多數(shù)公司都把重點(diǎn)放在安全軟件開發(fā)上。為什么要優(yōu)先考慮軟件的安全性呢？

Ryan Berg：大約12年前，我在一家名為BBN的公司工作， 那時(shí)BBN是第一家管理防火墻服務(wù)器的公司，被人們所熟知。在12年前，對(duì)一個(gè)公司來說最大的威脅之一是來自網(wǎng)絡(luò)的訪問，這是每個(gè)人都在關(guān)心的問題。于是防火墻孕育而生，你只需要一個(gè)高層次的管理員來配置防火墻。然而，我們的網(wǎng)絡(luò)運(yùn)營(yíng)中心最大的需求之一是：“你能為我打開這個(gè)端口嗎？”隨著越來越多的應(yīng)用程序移植到網(wǎng)絡(luò)上，為了保證人們正常工作，試圖打開防火墻的需求越來越多。當(dāng)時(shí)的應(yīng)用程序和網(wǎng)絡(luò)應(yīng)用程序都相當(dāng)糟糕。那時(shí)的威脅來自于網(wǎng)頁置換，隨后網(wǎng)絡(luò)開始演變。大約在5年前，我們看到越來越多的動(dòng)態(tài)信息被放到了網(wǎng)絡(luò)上，同時(shí)網(wǎng)絡(luò)也增加了一些更為實(shí)際的業(yè)務(wù)功能。雖然防火墻還規(guī)定了一個(gè)安全基準(zhǔn)，但是用戶可以通過允許開啟80端口，免費(fèi)、快速地訪問網(wǎng)絡(luò)。曾經(jīng)人們所理解的內(nèi)網(wǎng)和外網(wǎng)概念已經(jīng)被徹底打破。大多數(shù)公司一旦在互聯(lián)網(wǎng)上開展業(yè)務(wù)，都會(huì)開放80端口允許訪問他們的網(wǎng)絡(luò)，這樣他們基本上也為來自外界的訪問打開了方便之門。

很多應(yīng)用程序已經(jīng)放在網(wǎng)絡(luò)了，攻擊者似乎不再通過操作系統(tǒng)漏洞，而是通過瀏覽器的漏洞以及一些其他面向網(wǎng)絡(luò)應(yīng)用程序的漏洞來發(fā)動(dòng)攻擊，是這樣的嗎？

Berg：由于操作系統(tǒng)廠商在操作系統(tǒng)安全防范上做的很好，人們逐漸意識(shí)到攻擊者想得到的只是數(shù)據(jù)。這是一個(gè)數(shù)據(jù)經(jīng)濟(jì)時(shí)代。商務(wù)分析人士希望獲得這些數(shù)據(jù)來推動(dòng)自己的業(yè)務(wù)發(fā)展，黑客也想得到這些數(shù)據(jù)來推動(dòng)自己的業(yè)務(wù)發(fā)展。獲得數(shù)據(jù)的方式將不再是通過網(wǎng)絡(luò)和入侵操作系統(tǒng)。黑客正嘗試讓應(yīng)用程序本身去訪問這些數(shù)據(jù)，然后直接摧毀這些應(yīng)用程序。黑客試圖用一種邪惡的方式來合法的獲取數(shù)據(jù)。這就是為什么類似于SQL注入和跨站點(diǎn)腳本攻擊（XSS）這樣的攻擊成為主流的原因。這些都只是攻擊者用來破壞應(yīng)用程序正常功能的方式。軟件缺陷、不良設(shè)計(jì)或編碼質(zhì)量低下都是客觀存在的。

如果一家公司要把軟件安全列為優(yōu)先項(xiàng)目，那么它該從哪入手？公司里誰應(yīng)該起帶頭作用？

Berg：我認(rèn)為應(yīng)該從首席執(zhí)行官開始。你必須改變你對(duì)軟件制造的思維方式。公司改變其軟件制造方式的唯一途徑就是通過首席執(zhí)行官的領(lǐng)導(dǎo)。我接觸過很多公司，并不是開發(fā)人員不想做正確的事情。他們也并不希望編寫出糟糕的代碼。但開發(fā)人員沒有被告知，這是我們業(yè)務(wù)的一個(gè)基本職能。軟件交付使用時(shí)一定要具備安全性。為了使這成為一個(gè)標(biāo)準(zhǔn)以及讓開發(fā)人員能夠堅(jiān)持自己的開發(fā)理念，必須從公司最高管理層開始貫徹落實(shí)。我從來沒有告訴過任何公司不要關(guān)心他們的軟件質(zhì)量。如果你關(guān)心軟件質(zhì)量，那么你必須關(guān)注它的安全性，因?yàn)椴豢赡艽嬖谌狈Π踩缘母哔|(zhì)量軟件。公司花費(fèi)了太多的精力在質(zhì)量上。有專門的質(zhì)量檢測(cè)工程師負(fù)責(zé)產(chǎn)品的測(cè)試。但是，還需要專門的工程師來測(cè)試軟件的安全性。質(zhì)量檢測(cè)工程師不能進(jìn)行這個(gè)測(cè)試，因?yàn)檫@是另外一門技術(shù)。所以需要有一個(gè)企業(yè)承諾需求和一個(gè)企業(yè)提供這樣的職能。

一旦做出這種承諾，將會(huì)產(chǎn)生許多種不同的模式，我們可以以此作為指南。比如成熟度模型（BSIMM）中的建筑安全就很管用。微軟也將它的SDL廣泛應(yīng)用。您對(duì)這些不同的模式怎么看？這會(huì)是一個(gè)很好的起步平臺(tái)嗎？

Berg：我喜歡BSIMM的唯一原因是其實(shí)它并不是一個(gè)模式。BSIMM概述了一些公司正在做的事情。我們可以從中得到頂尖公司共同在做事情的相關(guān)數(shù)據(jù)統(tǒng)計(jì)。BSIMM不會(huì)告訴你該做什么或不應(yīng)該做什么，它只是告訴你這些頂尖的軟件公司在做什么。微軟的SDL就是圍繞微軟做的工作而設(shè)計(jì)的。微軟有自己開發(fā)的一些應(yīng)用程序。最初的SDL主要集中在他們的操作系統(tǒng)中：如封裝和套裝軟件。如果你不打算開發(fā)這種軟件，也許這種模式并不一定合適。但是，這并不意味著你不能使用這種模式或者這種模式中的一些模塊。要完成一個(gè)大項(xiàng)目，你就應(yīng)該要有一個(gè)模式。如果沒有，你就是做無用功。

根據(jù)目前您了解到的信息，大部分公司的大體模式是正確的嗎？這些公司有沒有意識(shí)到這個(gè)問題，并著手建立更好的軟件開發(fā)流程呢？

Berg：這取決于市場(chǎng)的需求。有些縱向市場(chǎng)，像金融市場(chǎng)，處處充滿風(fēng)險(xiǎn)。在安全應(yīng)用開發(fā)問題上，他們始終走在前列。他們有風(fēng)險(xiǎn)管理人、安全工程師，還有一個(gè)安全項(xiàng)目。大多數(shù)金融組織都設(shè)有這些職位。但在美國(guó)之外的其他國(guó)家就不同了。美國(guó)的金融公司走在其他國(guó)家的金融組織之前。有一部分原因就在于美國(guó)的規(guī)章制度。毋庸置疑，PCI對(duì)金融市場(chǎng)起到?jīng)Q定性和強(qiáng)制性的作用。金融服務(wù)業(yè)之后就是零售業(yè)。PCI和金融服務(wù)業(yè)一同向零售業(yè)施壓。如果你接觸獨(dú)立軟件制造商，他們只會(huì)敷衍了事。大規(guī)模的獨(dú)立軟件制造商很有優(yōu)勢(shì)，一旦你躋身財(cái)富1000強(qiáng)，利益就多了。除非有重大事情發(fā)生，大多數(shù)的時(shí)候他們并沒有真正在做什么。

其中一些改變是根據(jù)用戶的要求進(jìn)行的嗎？是否需要監(jiān)管來改善小規(guī)模的獨(dú)立軟件制造商的軟件安全性？

Berg：我不希望看到有更多的規(guī)則條例出現(xiàn)。大家都知道條規(guī)并不總能保證事情朝正確的方向發(fā)展，人們只會(huì)循規(guī)蹈矩，用最少的工作來達(dá)到其中的要求。我更希望看到的是，有更多的軟件用戶與軟件制造商互動(dòng)起來?，F(xiàn)在這種情況越來越多了。具有購(gòu)買能力的大客戶在他們定購(gòu)的軟件的安全問題上有更多的發(fā)言權(quán)。如果你擁有財(cái)富500強(qiáng)或者財(cái)富1000強(qiáng)那樣的購(gòu)買力，那么你就可以提出具體的要求，對(duì)軟件的開發(fā)方式也有一定的決定權(quán)。

【編輯推薦】

1. 應(yīng)用程序開發(fā)：使用第三方代碼是否安全？
2. 企業(yè)難題之落實(shí)應(yīng)用程序開發(fā)安全性