如何在開發生命周期之初改善軟件質量
譯文先人一步的企業正開始采用安全編程方法和工具,在軟件開發生命周期的早期階段處理安全問題。MaaS360 by Fiberlink公司的信息安全官David Lingenfelter說:“如果企業組織在軟件開發生命周期的早期階段采用安全編程方法,安全問題就比較少。”
對大多數云軟件產品而言,開發和部署的節奏非常快,以至于如果在開發生命周期的開始階段不兼顧安全,代碼發布后,如果繼續進行安全測試,隨后會發現需要解決的問題。“這導致了第二次重大調整,沒有采用安全編程方法的公司不得不發布更多的安全代碼補丁,數量比改善產品的代碼變更還要多。”
實施安全代碼審查
一個合理的做法就是,一開始就執行安全代碼審查。這有助于緩解新安全漏洞的一些威脅,無論是凈化數據還是核實輸入。這還可以幫助開發團隊確立一套合適的安全編程方法,從而有助于盡量減少風險部位。此外,如果采用安全編程方法,發現和審查新安全漏洞的工作就不會淪為事后諸葛亮。
云應用程序和服務***競爭力,而云的本質就是能夠迅速變化、適應。這就需要迅速改變云服務,以便與對手不相上下,或者領先對手一步。Lingenfelter說:“一大挑戰就是,安全的本質就是增加了開銷,因為它延長了開發周期。”
這在傳統老牌企業可能是個比較大的挑戰。在項目啟動后整合安全,甚至在生產環境中整合安全會給現有環境帶來極大的破壞。這是由于,一開始可能會發現許多問題需要解決,不僅僅是代碼方面,還有可能是整個流程方面。需要得到管理層的認可,才能面對這一現實:給開發生命周期增添安全將會在整個流程中增添一些障礙。這可能會阻礙或者延長升階周期。別試圖一下子實施所有安全做法,而是要逐漸分階段實施。
將安全外包給PaaS
平臺即服務(PaaS)提供商OutSystems公司的產品戰略主管Sean Allen問道:“即使你讓開發人員重視安全,但是如果你迫于趕期限,最初注意的事項有哪些會在開發周期的后期階段也會注意到?要是根本沒有一套嚴格的程序,最初注意的事項(比如安全)就會被忽略,因為你要么沒有時間,要么認為這并不重要,或者是不想因浪費人才而分心。”
一種辦法就是考慮采用合適的應用程序快速交付(RAD)平臺。這有助于趕在***期限前完工,可以處理開發安全應用程序的大多數繁瑣事務。現代的RAD平臺可以自動將安全納入到開發的應用程序當中。
Allen說:“借助合適的基于云的安全RAD平臺(作為PaaS來提供),你就讓能自己準備好迎接最終的成功。你不僅一開始就奠定了安全基礎,而且你開發的應用程序一開始就考慮到了安全。”
使用云端代碼分析
就在不久前,企業組織要想確保其應用程序的安全性,還不得不購買成本高昂的軟件包,并且安裝在企業內部。Brian Russell是全美安全、健康和工程解決方案公司Leidos專門負責網絡安全解決方案的工程師,他說:“如今,靜態代碼分析、動態代碼分析和Web應用程序安全測試之類的工作現在可以通過云來實現,作為按需提供的服務。”他還負責云安全聯盟(Cloud Security Alliance)的安全物聯網項目。
IBM和惠普等傳統的軟件質量保證開發商分別通過各自的AppScan和Fortify產品線來提供這項服務。還有一些更新穎的方案,借助眾包專家來審查代碼,并提供發現的軟件缺陷方面的報告。BugCrowd就是這方面的一個典例。Russell解釋:“這些服務意味著,企業組織可以有效地外包這些關鍵的安全職能,不過有必要指出,企業自身仍然需要具備軟件開發方面的專長。”
SDLC期間的不同活動
Russell建議,一個好的做法就是明確劃定周期中每個階段的安全活動。在軟件設計階段,確保執行威脅建模工作,發現代碼的高價值方面,了解數據流動情況,并深入了解某人有可能如何濫用應用程序。
在開發階段,充分利用安全開發***實踐,比如代碼安全審查。Russell補充說:“采用結對編程之類的做法也是明智之舉,這同時帶來了功能和安全方面的好處,如果之前已有所投入,訓練開發人員掌握安全編程做法,更是明智。”
新代碼進入到整合階段后,就要充分利用持續整合(CI)軟件來整合代碼,并且定期測試以查找軟件缺陷。在軟件開發生命周期(SDLC)的這個環節,適合使用基于云的軟件保證服務,其中許多服務直接整合到CI環境中。還有一些服務(比如Veracode提供的服務)可以對二進制代碼執行靜態分析,而不是非得提供整個代碼庫。Web應用程序部署后,繼續使用基于云的服務,這些服務可以定期掃描,查找運行中軟件所存在的安全漏洞。
Russell提醒道:“與軟件配套的安全基礎設施不應該在***擴充上去了事。就最初的架構和實施而言,網絡防火墻、Web應用程序防火墻和身份管理系統應該是設計的一部分。”在過去,由于這些安全硬件設備需要高昂成本,很難將這種安全基礎設施部署到開發環境中。
安全廠商們正開始擯棄資本成本高企的安全硬件設備,改用可以迅速部署、價格靈活的虛擬安全設備。這讓安全得以一開始就在云端成為開發流程的一部分。隨著開發人員編寫軟件、擴建系統,虛擬安全環如同虛擬安全設備那樣已經實施到位。Russell建議:“務必要與支持真正的動態云環境的安全廠商合作,那樣才能夠無縫、低成本地搭建安全基礎設施,以支持整個軟件開發生命周期。”‘
原文標題:Improve software quality by paying early attention to application security
