如何開發出一套安全的應用軟體,便成為網路安全的重要課題。究竟該如何做好軟體開發工作,提早找出潛在的軟體問題,本文將從軟體開發過程中來探討解決資安的問題。
根據統計顯示,目前有84%的網路攻擊是來自於應用層,也就是說安全風險已經從網路層轉移到應用層,因此想要打造一個安全、高品質量的軟體,將比以往更具挑戰性。
建構之後 再來行動
想要做好軟體開發工作,首先需先建立安全成熟度模型(The Building Security in Maturity Model, BSIMM),在四大領域、12個面向對您的軟體進行評比,以了解軟體的安全計劃與同業相比之間的差異,然後將您的軟體安全倡議(Software Security Initiative, SSI)建立在行業最佳的實踐基礎上,使用200多個指標將您的SSI與其他廠家進行比較,建立基準和追踪SSI增長,以及與BSIMM社群同業互動並向他們學習,
新思科技的道德認證駭客的資深應用工程師Eric如上表示。
執行過BSIMM(The Building Security In Maturity Model)全稱是構建軟體安全成熟度模型之後,接著便要執行成熟度行動計劃(Maturity Action Plan, MAP),這是建構、發展和維護軟體的安全計劃,必須先制定目標、制定策略綱要,確定所擁有的資源,並為員工配備建構和運行所需的安全軟體,定義如何與何時需要處理每個軟體資產,並規劃相關活動以驗證軟體安全計劃。
執行BSIMM和MAP可幫助軟體開發者加速完成SSI,藉以評估出SSI成熟度,並獲得相關的預算和資源,以便為安全計劃制定策略和規畫,建立衡量進度的機制,並向客戶、合作夥伴和監管機構傳達軟體的安全狀況。
資料提供:新思科技