觀點

安全軟體開發週期 首重安全需求與測試

2009 / 08 / 03
張維君
安全軟體開發週期  首重安全需求與測試
根據統計,8成的資安事件是起因於資訊系統的漏洞。儘管可以事後修補,但是損失可能已經造成。因此,專家強調應在軟體開發生命週期(SDLC, Software Development Lifecycle)中,把安全考量進去,預防勝於治療。(ISC)2於去年推出CSSLP(Certified Secure Software Lifecycle Professional)資安軟體開發專家認證,已於今年6月舉辦第一次考試,而台灣最近一次的考試將在9月舉辦。

(ISC)2講師主席Kevin Henry指出,安全不是一直單靠修補程式,而是整個系統基礎架構的一部分。他表示,儘管許多企業已經有一定資訊化程度,但卻搞不清楚自己的安全需求,也不知道問題。因此,他認為對所有參與系統開發的人員來說,軟體安全需求以及測試是最重要的兩部份。而這也是他認為在CSSLP課程及考試當中的兩大重點。CSSLP CBK SDLC七大領域包含軟體安全概論、軟體安全需求、軟體安全設計、軟體安全實作/開發、軟體安全測試、軟體驗收以及軟體部署/操作/維護/報廢等。

儘管CSSLP才推出沒多久還是一個相當新的證照,但在美國軍事單位已要求相關人員必須取得證照。而在台灣,來自政府單位的詢問度也頗高。