黑帽大會2011:缺乏用于應用程序開發的資金
為了為軟件開發過程建立安全保證,企業進行了長期的努力,就在2011年黑帽大會上,一個專家小組也表示,解決復雜的應用程序開發安全問題不容易。
該應用程序安全專家小組成員包括Verizon的Alex Hutton(Verizon數據泄漏報告的共同作者),Deere & Co.的John Deere部門的John D. Johnson,Adobe系統公司的Brad Arkin以及白帽安全(WhiteHat Security)的Jeremiah Grossman。他們認為企業在為軟件開發人員進行安全意識培訓,為高層管理人員強調軟件安全的重要性,以及為早點兒發現開發過程中的錯誤而進行徹底的代碼審查過程方面,需要更多創新的方式。
“像我們這樣的制造公司,我們已經有了較長的軟件開發周期,憤怒的客戶也少了,而且我們有點兒慢;也許就像泰坦尼克開始轉彎的時候,”John Deere的高級安全經理Johnson這樣說道,“我希望我們在軟件開發周期方面可以真正有一個大的預算,但我采取的方法都依賴于我們現在已有的東西。”
同樣的編碼錯誤——SQL注入和跨站點腳本(XSS)錯誤——還在制造問題,并成為許多網絡攻擊進入的中心點。Arkin,在Adobe觀察安全改進已經好幾年了,他表示,Adobe公司的軟件是攻擊者喜歡攻擊的一個目標,這迫使Adobe加強過程并迅速采取行動,在各級業務中注入安全。
但是Arkin承認,改善軟件開發過程是一項艱巨的任務。一個需要吸取的教訓是,應停止在手動代碼審查上花更多的時間和金錢,取而代之的應該是在改善其他過程方面進行投資。
“我們的產品中有上億行代碼,”Arkin說道,“我們根本不可能通過手動把這些代碼都看一遍。”
所有的小組成員都提倡通過靜態和動態代碼分析工具對軟件中存在的嚴重編碼錯誤進行掃描和分析。Arkin認為,可重復的和可靠的代碼測試在保持軟件開發人員的士氣上是很重要的。這使得開發人員和他們的公司可衡量改進的過程,他解釋道。必須有優先編碼錯誤修復進程,這樣錯誤將被解決,且在開發過程結束前被快速解決,Arkin補充道。在開發團隊間,Adobe有一個認證計劃,可以實現軟件安全教育。開發人員可以以他們自己的方式利用幾十個24分鐘的教程,并最終達到“黑帶”認證。Arkin表示,該公司有一個80點安全計劃,在很大程度上基于公司的培訓計劃情況下促進安全文化。
該小組還表示,獲得高層管理人員的支持對軟件代碼的改進也很重要。白帽的CTO Grossman說道,信息安全方面的預算失準,導致一些企業忽視某些領域,比如軟件安全。
雖然在整個IT預算中,網絡的花費是最低的,而為開發人員提供的資金很多,但事實上,信息安全預算在網絡層的花費最多,而用于創建安全的軟件開發過程的最少。
“我們可以坐在這里并嘗試得出最好的答案,但如果沒有可以跟進的資源,我們還是得面對這些問題。”Grossman說道。
【編輯推薦】
