就是现在。安全开发必须成为每个人优先考虑的事。
今天是 2013 年安全开发大会的第一天。来自企业、政府机构和学术机构的安全专业人士从世界各地赶来,学习、交流和分享已经证实的能够降低组织风险的安全开发实践。当我坐在这里等待 Scott Charney 登台演讲时,我想起微软的安全开发生命周期 (SDL) 已经实施了十年了。这段时间里发生了很大的变化。
在过去的十年中,互联网使用人口已经由约 3 亿 5 千万增长到超过 24 亿。现在,开发人员的机会比以往任何时候都要多。Windows 8 仍然相对较新,云尚处于采用的早期阶段,而新型的移动设备和平台已经出现了迅猛发展。虽然互联网创造了许多处理业务的全新机会和方法,但是它也为网络犯罪创造了地下温床。安全漏洞所引发的财务问题、知识产权损失、网站篡改和间谍活动已成为现在计算领域所面临的现实。
我与许多开发人员交谈过,他们普遍认识到了安全开发的重要性。尽管如此,有证据表明,大多数组织仍然没有将安全开发采纳为基础业务原则。最近微软对全球 2200 多名专业人员和 490 名开发人员进行了调查。调查发现,只有 37% 的专业人员声称他们的组织在提供产品和服务时考虑安全问题。此外,61% 的开发人员没有利用已存在的缓解技术,如 ASLR、SEHOP 和 DEP 等。多年来,这些缓解技术一直是免费向业内提供的,并且经常作为现有开发实践的简单补充 ― 但是现在仍然只有少数开发人员在利用这些技术。对此我感到担忧,而且所有使用互联网的人都应该对此感到担忧。
此外,调查显示,阻碍各组织采用安全开发流程的最大障碍为:1)缺少管理审批;2)缺少培训和支持;3)成本 。今天,在安全开发大会上,微软和其他组织正采取措施消除这些障碍,并为缩小在采用安全开发方面的差距提供帮助。
管理审批 ― 标准化和遵从性有助于克服许多涉及管理审批的障碍。 国际标准化组织 (ISO) 和国际电工委员会 (IEC) 认识到了关于安全开发流程标准化的必要性并发布了 ISO/IEC 27034-1 。这个新的国际标准是同类中首个将重点放在构建全面的软件安全程序时,所必需的流程和框架的标准。 ISO/IEC 27034-1 是朝着安全的正确方向迈出的重要一步,并且为各个组织开创了许多可能性。 微软 认识到了这一安全开发方面的重要里程碑并于今天通过其 《符合性声明》 宣布 微软 的安全开发生命周期( SDL ) 遵守 ISO 27034-1。我们希望能够通过公开遵守这一标准而成为其他企业看齐的榜样,从而为安全开发做出贡献。
o 对于从事软件开发或销售的企业, 这一标准为安全开发实践提供了一种通用验证语言,为采用安全开发框架提供了明确而简单的大纲,并且能够在市场上成为竞争优势。
o 对于从供应商手中购买软件和服务的客户,这一标准为要求进行跨行业、跨平台和跨地区安全开发的购买者提供了一种“语言”
如果您想了解更多关于 ISO 27034-1 的信息,我建议您查看今天由微软委托 Reavis Consulting Group, LLC 发布的一篇文章,题目是“The emergence of software security standards: ISO/IEC 27034-1:2011 and your organization”。
许多行业都面临着保护其基础设施和遵守行业法规的艰苦战斗,例如医疗保健行业。现在,微软也发布了一篇题为“Secure Software Trends in Healthcare”的文章。文章中提及了这一行业挑战,并展示了 SDL 是怎样为此带来正面影响的。
培训和支持 ― 微软在其 SDL 网站上提供免费的可下载工具和指南,其中包括敏捷的 SDL、威胁建模工具和攻击面分析器,以帮助实现 SDL 流程的自动化并对其进行增强、提高效率以及实现 SDL 实施的易用性。为帮助实施,微软的合作伙伴网络包括许多成员,他们致力于帮助客户采用基于 SDL 的安全开发实践。除这些资源外,优秀代码软件
保证论坛 (SAFECode) 今天发布了关于安全开发的新免费在线培训课程。
成本 ― 最后,IT 专业人员和开发人员声称,成本是采用安全开发框架的主要障碍。但是说实话,安全产品并不是实施该流程所带来的唯一好处 ― 编写安全代码实际上也会节省成本。Aberdeen Group的研究也表明,采取“从源头保证安全”(类似于微软 SDL)策略的公司,其每年在应用安全方面的投资可实现高达 4 倍的收益。Forrester 再次证实了这一发现,声称采用了 SDL 的企业明确报告其 ROI 明显好于整体水平。
现在,随着应用数量的不断增长,开发人员不会无事可做。而且开发人员所面临的竞争也很激烈。每一种新的软件产品和应用都必须和竞争对手进行战斗。以前我们遇到过这种情况,而安全则过于频繁地让位于率先投入市场的商业压力或与令人惊叹的功能相抵触。但是这次我希望情况能有所不同。不幸的是,网络犯罪是非常真实和普遍的威胁,而其可能带给个人和组织的影响也为我们所熟知。因此,使用软件的组织必须要求软件产品更加安全,开发人员则必须实施安全开发,以满足此要求并保持竞争力。