歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
三隻小豬的稻草屋
2007 / 07 / 16
EDWARD ADAMS
軟體開發者是藝術家以及工程師的混合體。這造就了開發人員的創造力,但也是造成現在應用程式充滿弱點的根本原因—產出缺乏安全工程觀的程式碼。
軟體開發的問題是並沒有被當成一門工程學來訓練。雖然在訓練過程中會教導核心概念,但是要變成職業人士卻不需要有任何嚴格的要求。學校會開課教密碼學和演算法,但是在學習軟體工程以及電腦科學時幾乎都不會提到品質以及安全。讓問題更嚴重的是,我們的產業也不要求任何證照、在訓工程師(EIT, Engineer-In-Training)或者任何像是其他培訓計畫的實習程序。這樣的結果如同童話故事中的三隻小豬用稻草來蓋房子。我們是如此自大的相信稻草屋可以抵擋大野狼的吹襲。軟體開發者缺乏安全訓練以及紀律,就如同自大的小豬一般。
使用工具並不會解決這個問題。事實上就算瞭解如何使用工具也沒有任何幫助。我並不會因為學會如何使用AutoCAD而變成一個更好的機械設計工程師;工具只是很簡單的用來提升工作的效率-我能夠適當的完成工作是因為受過良好的訓練。甚至,在通過產業認證考試以及跟隨認證工程師工作五年之後我才被允許當專案經理。
我知道,您會認為我們無法等待如此久的時間來產生一個品質良好的軟體工程師,對吧?技術採用的速度以及壓縮新血開發者對產品上市時間的需求-這些就是導致目前軟體品質低又不安全的原因。我們已經開始進行良好的軟體開發方法論。像是軟體成熟度模型(CMM, Capabilities Maturity Model)計畫就是用來衡量可重複使用程度以及軟體開發人員將過程文件化的良好程度。
不幸地,軟體成熟度模型的水準和產出的程式碼是否安全並沒有關聯-不論程式安全是好還是壞,唯一可以確定的是程式安全會一致性的好或者壞。
微軟的安全發展生命週期(SDL, Security Development Lifecycle)是基於安全的方向所發展出來的步驟,讓特定的開發團隊可以將開發過程中加入安全。但是安全發展生命週期還是缺乏說明組織如何撰寫程式的最佳實作指導方針。不管是軟體成熟度模型、安全發展生命週期或是其他方法論都是針對以下問題:我們的開發人員缺乏訓練。開發人員需要在畢業之後還是持續的在工作上以及學校內被訓練。像是入侵Paris Hilton大哥大的駭客並不是大野狼。大野狼是可以對國家基礎建設和大眾傳輸系統造成實際破壞的恐怖主義組織。駭客實際上還協助增加了使用者認知並且找出缺乏安全的軟體。
這裡並不是在讚揚犯罪行為,但是公司應該向駭客學習:您的軟體充滿弱點並且您應該針對這些弱點做出補強。請記住,因為您的軟體開發失當才會讓駭客有機會闖入。
程式開發
CMMI
程式安全
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.05.09
商丞科技『Superna Cyberstorage 資訊安全儲存設備軟體』 與 『Silverfort 身分安全平台』網路研討會
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.14
資訊作業系統委外與AI安全性資安管理課程
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
中國駭客組織利用 IPv6 SLAAC 執行中間人攻擊
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
SonicWall SMA 裝置遭攻擊,多個資安漏洞被利用
報告:台灣居25年第一季亞太地區網攻次數之首
資安人科技網
文章推薦
RolandSkimmer透過瀏覽器惡意擴充功能 竊取信用卡號
德知士資訊推出旗艦資安解決方案「零知量鎖」
思科推出AI 供應鏈風險管理安全控管機制