圖文:普華永道冼嘉樂(lè)

作者: 來(lái)源:未知 2012-06-15 22:45:49 閱讀 我要評(píng)論 直達(dá)商品

  

普華永道冼嘉樂(lè) (新浪科技 韓連巍/攝)

普華永道冼嘉樂(lè)

  6月15日上午消息,第十屆中國(guó)國(guó)際軟件和信息服務(wù)交易會(huì)今天在大連世界博覽廣場(chǎng)開(kāi)幕。本屆軟交會(huì)為期四天,主題為“創(chuàng)新驅(qū)動(dòng)增長(zhǎng),融合深化應(yīng)用——騰‘云’駕‘物’,智能互聯(lián)”。新浪科技作為獨(dú)家網(wǎng)絡(luò)戰(zhàn)略合作伙伴視頻直播本次大會(huì)。

  圖為普華永道冼嘉樂(lè)。

  謝謝大家!今天我想跟大家討論的一個(gè)課題就是安全軟件開(kāi)發(fā),以下的20分鐘我會(huì)給大家介紹安全軟件開(kāi)發(fā)的效果,還有安全軟件開(kāi)發(fā)的時(shí)間。

  安全軟件開(kāi)發(fā)這個(gè)里面其實(shí)在十年前主要是微軟(微博)公司提倡的一個(gè)理念,大概十年前,微軟的CEO給他所有的員工發(fā)了一個(gè)電郵,說(shuō)我們開(kāi)發(fā)的很多產(chǎn)品都有安全漏洞,這樣下去是不可行的,未來(lái)一定要減少系統(tǒng)軟件的安全漏洞,所以在以后的幾年,他們開(kāi)發(fā)了一個(gè)叫安全軟件開(kāi)發(fā)的體系和系統(tǒng),在2008年他們發(fā)表了一個(gè)分析,分析了關(guān)于應(yīng)用軟件和操作系統(tǒng)的比例,里面說(shuō)大概6%是從操作系統(tǒng)出來(lái)的,94%是應(yīng)用軟件出來(lái),所以在應(yīng)用軟件里面有很多的安全漏洞。

  為什么會(huì)這樣呢?在一般的軟件開(kāi)發(fā)流程當(dāng)中有兩個(gè)問(wèn)題發(fā)生一個(gè)問(wèn)題就是安全的人員不懂得應(yīng)用系統(tǒng)程序開(kāi)發(fā),反過(guò)來(lái),應(yīng)用程序員也不懂信息安全的知識(shí),所以兩個(gè)不能融合起來(lái),所以導(dǎo)致軟件開(kāi)發(fā)的成本里面有很多的安全漏洞。

  可能大家也聽(tīng)過(guò)在美國(guó)有兩個(gè)很大的機(jī)構(gòu),他們每年會(huì)發(fā)布重大的軟件的安全漏洞,現(xiàn)在外面很多黑客都是利用漏洞來(lái)攻擊網(wǎng)絡(luò)的應(yīng)用系統(tǒng),通過(guò)這個(gè)手段可以獲取管理員的用戶帳號(hào)和密碼,從而攻克他們的網(wǎng)絡(luò),再入侵后臺(tái)的網(wǎng)絡(luò),所以系統(tǒng)里面有很多的安全漏洞,但是SDL可以幫助減少漏洞的數(shù)目,在2008年的時(shí)候微軟做了一個(gè)分析,通過(guò)分析他們以前的產(chǎn)品沒(méi)有通過(guò)SDL開(kāi)發(fā)的產(chǎn)品,比如WINDOW XP,當(dāng)時(shí)大概有100多個(gè)漏洞,但是后來(lái)的WINDOW VIST應(yīng)用SDL開(kāi)發(fā),里面的漏洞只有66個(gè),減少了45%。另外,在第六個(gè)版本沒(méi)有用SDL方法開(kāi)發(fā)的時(shí)候,第七個(gè)版本里面,高風(fēng)險(xiǎn)的漏洞減少了63%,中風(fēng)險(xiǎn)的漏洞減少了30%多,所以,通過(guò)安全軟件開(kāi)發(fā),SDL可以把應(yīng)用軟件的安全漏洞減少,但是這個(gè)SDL也不可以把所有的漏洞都減掉,盡量把漏洞的數(shù)目減少,另外現(xiàn)在移動(dòng)運(yùn)用系統(tǒng)非常普遍,我們用移動(dòng)設(shè)備很多人都非常喜歡用移動(dòng)的設(shè)備進(jìn)行金融的交易,或者在移動(dòng)商城買東西,很多企業(yè)、銀行都趕快推出他們的移動(dòng)應(yīng)用軟件給他們的用戶。因?yàn)樗麄冓s快要推出應(yīng)用系統(tǒng)的產(chǎn)品,在那個(gè)開(kāi)發(fā)過(guò)程當(dāng)中,沒(méi)有仔細(xì)的考慮信息安全的問(wèn)題,導(dǎo)致現(xiàn)在的移動(dòng)應(yīng)用軟件有可能有很多的安全漏洞。

  現(xiàn)在我想和大家分享一下安全軟件開(kāi)發(fā)的實(shí)踐,里面有七個(gè)階段,包括培訓(xùn)、設(shè)計(jì)、實(shí)施、驗(yàn)證發(fā)布和會(huì)議等七個(gè)階段,在安全軟件開(kāi)發(fā)里面有三個(gè)因素:第一,是對(duì)照時(shí)間,第二流程改進(jìn),第三衡量標(biāo)準(zhǔn)。安全軟件開(kāi)發(fā)的目標(biāo)是盡量減少與安全相關(guān)的漏洞,與安全有關(guān)的設(shè)計(jì)和代碼,軟件受到威脅的可能性和惡意攻擊對(duì)軟件的危害性,還有安全軟件開(kāi)發(fā)的流程可以同時(shí)去強(qiáng)調(diào)保護(hù)使用者的隱私權(quán),保護(hù)用戶隱私的信息。在安全軟件開(kāi)發(fā)里面是建立在3D的基礎(chǔ)上的,包括安全的設(shè)計(jì),安全的默認(rèn),安全的部署和通信,在培訓(xùn)的階段我們要給程序員提供安全培訓(xùn),提倡他們的安全意識(shí),里面的培訓(xùn)內(nèi)容至少要包括安全的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試和隱私的保護(hù),另外,在項(xiàng)目執(zhí)行開(kāi)始的時(shí)候要考慮到安全的問(wèn)題,我們要考慮幾個(gè)方面:第一,開(kāi)發(fā)團(tuán)隊(duì)要明確安全和隱私的需求;第二,確定安全顧問(wèn)來(lái)參與開(kāi)發(fā)項(xiàng)目的工作;第三,安全顧問(wèn)用審閱產(chǎn)品開(kāi)發(fā)計(jì)劃,提出建議,并可提出額外的安全訴求;第四,使用安全測(cè)試系統(tǒng)進(jìn)行軟件的測(cè)試;第五定義安全和隱私測(cè)試庫(kù),并編寫(xiě)相關(guān)的文檔。

  這方面要定義軟件的安全架構(gòu),編寫(xiě)相關(guān)的文檔,我們要識(shí)別還有根據(jù)不同的產(chǎn)品設(shè)定安全的原則,比如禁止使用不安全的密碼函數(shù),另外,危險(xiǎn)的建模,從安全的角度來(lái)看系統(tǒng)的分析產(chǎn)品架構(gòu)和特性,并進(jìn)行削減,我們要減少一個(gè)威脅,在實(shí)施當(dāng)中要做好利用文件和適當(dāng)?shù)墓ぞ邅?lái)開(kāi)發(fā)系統(tǒng),還有我們要在開(kāi)發(fā)階段要好好考慮安全問(wèn)題,在驗(yàn)證階段我們要對(duì)全程的過(guò)程進(jìn)行一個(gè)安全的審查,里面包括代碼的審查、滲透的測(cè)試和其他安全的測(cè)試,還有審查設(shè)計(jì)和結(jié)構(gòu),要做不同的信息安全測(cè)試來(lái)檢查系統(tǒng)軟件。

  然后,發(fā)布方面,在發(fā)布的階段,我們要?jiǎng)?chuàng)建一個(gè)明確的定義,與公司整體的策略要一致,里面包括提供軟件安全測(cè)試的響應(yīng)計(jì)劃,還有包括漏洞報(bào)告的響應(yīng),確保修復(fù)所有的代碼,以及安全補(bǔ)丁的第三方代碼。

  最后響應(yīng)的階段要做四個(gè)方面的工作,里面包括在線掃描,在線的監(jiān)控還有漏洞的處理,以及應(yīng)急的響應(yīng),因?yàn)槲覀冏隽塑浖_(kāi)發(fā)的過(guò)程不一定把所有的安全的漏洞都解決,所以,里面還可能有很多不同的漏洞,所以我們也需要有一個(gè)漏洞處理的機(jī)制來(lái)相應(yīng)如果有問(wèn)題的發(fā)生。

  最后我想總結(jié)一下,在確定架構(gòu)進(jìn)行設(shè)計(jì)和實(shí)施測(cè)試部署應(yīng)用軟件的過(guò)程當(dāng)中,我們要將安全的時(shí)間集成到現(xiàn)有的軟件開(kāi)發(fā)過(guò)程當(dāng)中,我們要像攻擊者一樣的思考,除了考慮應(yīng)用軟件的功能特性,還有考慮應(yīng)用軟件如何才能更好的對(duì)抗攻擊,或者遭受攻擊后進(jìn)行恢復(fù)。安全是一個(gè)風(fēng)險(xiǎn)管理的問(wèn)題,在每一個(gè)軟件的生命周期當(dāng)中,開(kāi)發(fā)人員和測(cè)試人員必須評(píng)估和降低最高級(jí)的漏洞和風(fēng)險(xiǎn),我想通過(guò)今天這么一個(gè)很簡(jiǎn)單的關(guān)于安全軟件開(kāi)發(fā)的介紹,希望大家會(huì)考慮到安全和安全軟件開(kāi)發(fā),以后可以生產(chǎn)那些更加安全的應(yīng)用軟件,謝謝大家!


  推薦閱讀

  圖文:云華時(shí)代有限公司董事長(zhǎng)郭興

云華時(shí)代有限公司董事長(zhǎng)郭興 6月15日上午消息,第十屆中國(guó)國(guó)際軟件和信息服務(wù)交易會(huì)今天在大連世界博覽廣場(chǎng)開(kāi)幕。本屆軟交會(huì)為期四天,主題為“創(chuàng)新驅(qū)動(dòng)增長(zhǎng),融合深化應(yīng)用——騰‘云’駕‘物’,智能互聯(lián)”。新浪科>>>詳細(xì)閱讀


本文標(biāo)題:圖文:普華永道冼嘉樂(lè)

地址:http://m.sdlzkt.com/a/22/20120615/68699.html

樂(lè)購(gòu)科技部分新聞及文章轉(zhuǎn)載自互聯(lián)網(wǎng),供讀者交流和學(xué)習(xí),若有涉及作者版權(quán)等問(wèn)題請(qǐng)及時(shí)與我們聯(lián)系,以便更正、刪除或按規(guī)定辦理。感謝所有提供資訊的網(wǎng)站,歡迎各類媒體與樂(lè)購(gòu)科技進(jìn)行文章共享合作。

網(wǎng)友點(diǎn)評(píng)
我的評(píng)論: 人參與評(píng)論
驗(yàn)證碼: 匿名回答
網(wǎng)友評(píng)論(點(diǎn)擊查看更多條評(píng)論)
友情提示: 登錄后發(fā)表評(píng)論,可以直接從評(píng)論中的用戶名進(jìn)入您的個(gè)人空間,讓更多網(wǎng)友認(rèn)識(shí)您。
自媒體專欄

評(píng)論

熱度

主站蜘蛛池模板: 91久久亚洲国产成人精品性色| 国产成人无码区免费A∨视频网站 国产成人无码区免费内射一片色欲 | 成人韩免费网站| 成人看片黄a在线观看| 成人一级黄色毛片| 亚洲欧美成人一区二区三区 | 动漫成人在线观看| 成人欧美一区二区三区黑人免费| 国产成人国产在线观看入口| 成人看片黄在线观看| 久久亚洲国产成人精品性色| 国产成人精品免费直播| 成人欧美一区二区三区的电影 | 四虎国产精品成人| 成人性生交视频免费观看| a级成人毛片完整版| 亚洲国产精品成人精品软件 | 亚洲欧洲精品成人久久曰 | 成人欧美日韩一区二区三区| 精品无码成人网站久久久久久| 亚洲色成人网一二三区| 国产成人亚洲精品无码青青草原| 成人毛片免费在线观看| 7777奇米四色成人眼影| 久久久久99精品成人片试看| 国产成人亚洲午夜电影| 国产成人A亚洲精V品无码| 成人伊人青草久久综合网破解版| 欧美成人免费高清视频| 57pao成人国产永久免费视频| av成人免费电影| 中文国产成人精品久久app| 亚洲AV成人无码天堂| 久久亚洲国产精品成人AV秋霞| 久久成人福利视频| 中文字幕在线看片成人| 欧美a级成人淫片免费看| 欧美成人手机在线视频| 日本成人福利视频| 成人午夜视频在线播放| 国产成人精品一区二区三区无码 |