- 第一篇 软件开发与软件安全
开发出来的软件中不可避免的存在安全问题,尽管我们已经采纳了很多措施加以应对,例如设立安全编码规范、成立专门的安全团队、聘用第三方安全公司进行渗透测试等等,可是这些措施的效果值得商榷。虽然表面看上去能解决眼前的安全问题,但背后往往隐藏着更加深层次的矛盾,阻碍企业构建更加安全的软件。
- 第二篇 BSI与软件开发流程
对于当前软件系统出现的各种安全问题,不能简单的通过某次安全扫描和入侵检测以及购买硬件防火墙来防止,因为短板效应将导致雪崩式的问题。要解决这些问题应该从软件的源头来阻止,比如开发人员的安全意识,业务分析,软件架构,代码编写等等。通过在软件开发的整个生命周期里面加入各种安全实践,从而将安全问题扼杀在摇篮中。
- 第三篇 软件开发中的安全测试
在BSI中,安全测试是十分重要和繁琐的一个步骤,而且由于大量不同类型的安全测试需要不同的安全工具和专业安全知识,导致安全测试一直是一个很难接近的领域,并且安全测试成本非常高。其实当前已经出现了大量的自动化安全扫描以及安全攻击工具,并且这些工具已经比较容易使用了,而且测试报告里面会详细的描述问题的各种细节和解决方法,以及可以比较容易的加入CI中自动运行,从而可以大大加快常规安全测试的速度,从而降低测试成本。
- 第四篇 BSI与软件开发团队
BSI另外一个的重要特征就是重视团队。由于软件开发是由团队里面各种不同角色的人合作开发出来的,所以对于软件的安全应该由团队中每个人共同来承担。同时对于安全问题不应该只是被动的进行防御,比如使用防火墙、仅依赖于产品发布前的安全审查等等,而更应该主动出击,以积极的态度和行动去防止安全问题的出现,从而真正意义上实现BSI,最终帮助企业让发开出来的软件产品更加安全,维护企业和用户的共同利益。