843
編寫安全代碼的3項準備
編碼安全是應用程序安全的基礎。在準備階段,開發團隊除了要根據其技術特長選擇一種符合項目要求、特點的安全語言之外,還要做好以下三方麵的準備。
一、製定一個安全的開發過程
安全的軟件開發是一個涉及到需求、設計、編碼、測試等諸多方麵的過程。此過程的一個關鍵要素是,在軟件開發期間不同團隊之間的信息傳遞。這個過程必須支持安全編碼的各種努力。
安全的開發周期要從始至終為整體的開發定義過程要素。在編碼過程中,典型的過程要素包括六方麵:明確的編碼標準、為安全編碼而對編譯器進行設置、源代碼工具的分析和使用、經核準的和被禁用的功能、安全編碼的清單等。
安全的開發周期的主要目的是,使項目的管理實現協調,確保軟件滿足整體要求,其中也包括安全要求。指望開發團隊沒有協調好所有其它各方的努力而生產出安全的代碼是不現實的。許多安全問題並非源自句法、語法錯誤,而是源自設計問題。在不同團隊之間的正確協調是安全開發周期過程的主要功能。這種跨團隊交流的一個主要例子就是威脅建模的形式。威脅建模技術要分析一個係統的潛在威脅,並使用此結果來設計減輕威脅的措施。這要求不同團隊的交流,使軟件體現出安全思維,從而挫敗潛在的威脅。
二、創建應用指南
在開發團隊開始編碼過程之前,開發者必須在應用指南中製定策略,要求其明晰、易於理解,並且足夠全麵,有助於程序員編寫規範的代碼。通過這種方法,任何開發人員都能輕易地維護代碼。該應用指南應當包括如下信息:
從哪裏得到特定軟件(也就是URL地址、服務器等)、將安件安裝到哪裏(目錄結構、硬盤、服務器等)、到哪裏尋找許可信息、到哪裏去發現部署要求、如何測試軟件及使用什麼工具測試、在哪裏將代碼投入生產(服務器名和IP地址等)、軟件檢驗的過程、語言編碼標準的確認等。
保持代碼的協調一致非常重要,但對於實現安全的代碼卻遠遠不夠。通過遵循應用指南,開發人員就可以強化代碼的可讀性,並增加協同工作的可能性。如果開發團隊能夠正確地創建應用指南,它就可以在整個開發團隊中貫徹實施。雖然這個過程可能需要根據不同項目或部門的需要而做出調整,但該指南必將有助於在整個開發團隊中強化安全代碼的開發。
最後更新:2017-04-02 15:15:13