多數企業的安全團隊和開發團隊都在單獨工作，安全問題似乎只是安全團隊的職責。僅靠安全團隊就能確保開發的軟體安全了嗎?答案是否定的。在獲取解決方案之前，讓我們一起來看看，安全團隊都在做哪些工作。

檢查所有程式碼的安全性缺陷，並將其報告給開發團隊進行修復。

在你的安全開發生命週期中執行嚴格的同行審查程式。

由內部或外部安全團隊定期進行應用程式評估/滲透測試。

實現掃描工具以發現漏洞。

在提高軟體安全性上，這些方式都不錯。但這些方法也很昂貴，並且類似於每次生病都要服用一輪抗生素。這不僅帶來很高的成本，而且隨著時間的推移作用會逐漸減弱，並削弱你的免疫能力。

那麼如何提高軟體自身“免疫力”呢?

這要從減少軟體安全漏洞說起。資料顯示超過六成的安全漏洞與程式碼有關，安全編碼意味著安全更安全的軟體，更穩妥的軟體執行環境。可想而知，加強程式碼安全是提高軟體自身安全性和網路安全性的有效途徑。

但安全人員並不負責編寫應用程式執行的程式碼，開發人員在開發這些軟體時是否考慮了安全問題?

儘管我們一再強調安全編碼，但現實中安全程式碼培訓往往並不能切實影響到開發人員的日常工作，其作用也僅限證明了開發人員已接受安全培訓，或者為了符合行業標準，而並非讓開發人員真正保留這些知識。

期望開發人員不犯錯誤是不現實的，但可以為他們提供便捷方式，如靜態程式碼檢測工具等幫助開發人員發現錯過的安全漏洞和缺陷，提高程式碼安全性。

一次成功的網路攻擊來自於脆弱的軟體系統，可以嚴重削弱一個企業的能力。但如果開發人員首先在可控的情況下發現系統中的安全漏洞，並及時有效對其進行修正，不但可以提高開發人員的安全編碼意識，還能建立軟體對威脅的免疫力。

一個人不可能防止所有的安全問題，為了軟體得到最好的保護，越多的人瞭解和發現安全漏洞，就越有可能阻止這些問題。確保安全編碼不但有利於構建安全的SDLC，而且由程式碼引發的安全漏洞將會在開發階段被”消滅“。這也意味著開發人員可以花更多的時間去創造和改進那些讓我們的世界更美好的軟體。

參讀連結：

https://zh.securecodewarrior.com/blog/secure-development-appsecs-immune-system

安全編碼為應用軟體增加免疫力

相關文章