為了為軟件開發(fā)過程建立安全保證，企業(yè)進行了長期的努力，就在2011年黑帽大會上，一個專家小組也表示，解決復(fù)雜的應(yīng)用程序開發(fā)安全問題不容易。

該應(yīng)用程序安全專家小組成員包括Verizon的Alex Hutton（Verizon數(shù)據(jù)泄漏報告的共同作者），Deere & Co.的John Deere部門的John D. Johnson，Adobe系統(tǒng)公司的Brad Arkin以及白帽安全（WhiteHat Security）的Jeremiah Grossman。他們認為企業(yè)在為軟件開發(fā)人員進行安全意識培訓(xùn)，為高層管理人員強調(diào)軟件安全的重要性，以及為早點兒發(fā)現(xiàn)開發(fā)過程中的錯誤而進行徹底的代碼審查過程方面，需要更多創(chuàng)新的方式。

“像我們這樣的制造公司，我們已經(jīng)有了較長的軟件開發(fā)周期，憤怒的客戶也少了，而且我們有點兒慢；也許就像泰坦尼克開始轉(zhuǎn)彎的時候，”John Deere的高級安全經(jīng)理Johnson這樣說道，“我希望我們在軟件開發(fā)周期方面可以真正有一個大的預(yù)算，但我采取的方法都依賴于我們現(xiàn)在已有的東西。”

同樣的編碼錯誤——SQL注入和跨站點腳本（XSS）錯誤——還在制造問題，并成為許多網(wǎng)絡(luò)攻擊進入的中心點。Arkin，在Adobe觀察安全改進已經(jīng)好幾年了，他表示，Adobe公司的軟件是攻擊者喜歡攻擊的一個目標，這迫使Adobe加強過程并迅速采取行動，在各級業(yè)務(wù)中注入安全。

但是Arkin承認，改善軟件開發(fā)過程是一項艱巨的任務(wù)。一個需要吸取的教訓(xùn)是，應(yīng)停止在手動代碼審查上花更多的時間和金錢，取而代之的應(yīng)該是在改善其他過程方面進行投資。

“我們的產(chǎn)品中有上億行代碼，”Arkin說道，“我們根本不可能通過手動把這些代碼都看一遍。”

所有的小組成員都提倡通過靜態(tài)和動態(tài)代碼分析工具對軟件中存在的嚴重編碼錯誤進行掃描和分析。Arkin認為，可重復(fù)的和可靠的代碼測試在保持軟件開發(fā)人員的士氣上是很重要的。這使得開發(fā)人員和他們的公司可衡量改進的過程，他解釋道。必須有優(yōu)先編碼錯誤修復(fù)進程，這樣錯誤將被解決，且在開發(fā)過程結(jié)束前被快速解決，Arkin補充道。在開發(fā)團隊間，Adobe有一個認證計劃，可以實現(xiàn)軟件安全教育。開發(fā)人員可以以他們自己的方式利用幾十個24分鐘的教程，并最終達到“黑帶”認證。Arkin表示，該公司有一個80點安全計劃，在很大程度上基于公司的培訓(xùn)計劃情況下促進安全文化。

該小組還表示，獲得高層管理人員的支持對軟件代碼的改進也很重要。白帽的CTO Grossman說道，信息安全方面的預(yù)算失準，導(dǎo)致一些企業(yè)忽視某些領(lǐng)域，比如軟件安全。

雖然在整個IT預(yù)算中，網(wǎng)絡(luò)的花費是最低的，而為開發(fā)人員提供的資金很多，但事實上，信息安全預(yù)算在網(wǎng)絡(luò)層的花費最多，而用于創(chuàng)建安全的軟件開發(fā)過程的最少。

“我們可以坐在這里并嘗試得出最好的答案，但如果沒有可以跟進的資源，我們還是得面對這些問題。”Grossman說道。

【編輯推薦】

1. 移動應(yīng)用程序開發(fā)應(yīng)考慮的八大安全問題
2. 小心你的應(yīng)用程序　減輕移動定位服務(wù)所帶來的安全風險
3. 黑帽大會的十二個最新技術(shù)亮點
4. 黑帽大會：“戰(zhàn)爭短信”讓黑客開走你的車
5. 黑帽大會：通過人臉照片或可竊取大量私人信息