安全軟體開發週期首重安全需求與測試

2009 / 08 / 03

張維君

根據統計，8成的資安事件是起因於資訊系統的漏洞。儘管可以事後修補，但是損失可能已經造成。因此，專家強調應在軟體開發生命週期(SDLC, Software Development Lifecycle)中，把安全考量進去，預防勝於治療。(ISC)2於去年推出CSSLP(Certified Secure Software Lifecycle Professional)資安軟體開發專家認證，已於今年6月舉辦第一次考試，而台灣最近一次的考試將在9月舉辦。

(ISC)2講師主席Kevin Henry指出，安全不是一直單靠修補程式，而是整個系統基礎架構的一部分。他表示，儘管許多企業已經有一定資訊化程度，但卻搞不清楚自己的安全需求，也不知道問題。因此，他認為對所有參與系統開發的人員來說，軟體安全需求以及測試是最重要的兩部份。而這也是他認為在CSSLP課程及考試當中的兩大重點。CSSLP CBK SDLC七大領域包含軟體安全概論、軟體安全需求、軟體安全設計、軟體安全實作／開發、軟體安全測試、軟體驗收以及軟體部署／操作／維護／報廢等。

儘管CSSLP才推出沒多久還是一個相當新的證照，但在美國軍事單位已要求相關人員必須取得證照。而在台灣，來自政府單位的詢問度也頗高。