譯者 | 陳峻

審校 | 孫淑娟

近年來，以B2B和B2C為代表的各類軟件解決方案，已大幅簡化了企業的業務與工作流程，并提高了其運營的效率。有越來越多的公司都趨向于，通過定制化的軟件開發，來輔助實現運營數字化。據統計，??全球企業在此方面的軟件支出已高達6050億美元??。

當然，在創建定制化的企業軟件產品的時候，有一個不可忽視的方面便是用戶的機密數據、及其安全性。與此同時，各國政府都對企業提出了數據安全與治理的要求。為了滿足這兩方面需求，企業需要通過DevSecOps（開發 + 安全 + 運營）之類的方法，來積極應對。可以說，安全性在定制開發過程中，起著舉足輕重的作用。

為什么數據安全如此重要?

據統計，每年全球數據泄露的平均成本為380萬美元，有51%的組織不得不以支付贖金的方式，從勒索軟件操控者的手中，贖回被鎖死的數據。

勒索軟件的增長

作為關鍵性的生產要素，數據能夠使企業獲得有價值的業務洞察力，進而做出更好的決策。與此同時，應用中的數據安全性可以給企業帶來如下優勢：

• 提高了應用程序的質量

只有團隊越快修復錯誤與漏洞，應用程序才能變得更加穩定與安全。

• 降低了長期成本

在受到攻擊后，企業著手修復安全漏洞的成本，往往是開發過程中的6倍。可見，更好的安全性態勢能夠降低長期成本。

• 滿足合規的需要

如今，以GDPR為代表的各國法律法規，都會要求企業遵守相應的數據安全策略，倘若不遵守此類準則，則會導致巨額的罰款。

不過，面對如今日益猖獗的全球性網絡攻擊的激增，企業又該通過哪些方式減少軟件系統中的漏洞，并抵御網絡攻擊呢？

定制軟件開發的優秀安全策略

為了避免將各種漏洞和威脅被帶入應用系統，企業在定制軟件開發時，應當盡量遵循如下安全策略： 

1. 安全的軟件開發策略

• 企業在開始定制軟件開發服務之初，應首先構建與開發相關的指導策略和最佳實踐。在策略中，我們應該包含有關查看、評估和監控應用程序的詳細說明，以降低安全漏洞的風險。
• 同時，此類策略也應規定每個團隊成員在開發過程中的責任。我們可以通過適當的培訓，以確保團隊了解策略，并遵循行業設定的相關標準。總之，這些開發策略應該是軟件定制過程中的強制性文件，需要每個成員去認真遵循。

2. 安全意識培訓

• 在軟件服務的開發文檔已準備就緒時，安全培訓顯得非常必要。開發人員可以通過由安全意識培訓提供的綜合方法，從實際項目中，有針對性地了解應用程序的常見安全漏洞、以及可能面對的典型網絡威脅。
• 此外，意識培訓也能夠以案例的形式，幫助開發人員了解他們最容易犯的錯誤，進而通過基本編程技巧和程序代碼來避免發生錯誤。

3. 更新您的軟件和系統

• 如您所知，大多數安全漏洞源于過時的軟件和傳統的操作系統。顯然，及時更新軟件、并切換到最新的企業級的系統是非常重要的。
• 畢竟，黑客和網絡攻擊者深諳軟件與系統中的安全威脅，能夠輕松地穿透其基本保護層。同時，開發人員用到的軟件開發工具往往是開源的，因此他們有必要整理出一份全量的軟件及組件清單。
• 可見，定期修補和打補丁，不但可以避免網絡攻擊者輕易地使用傳統的方法，去攻擊現有系統，而且能夠讓開發人員更加熟悉和掌握，如何用更為行之有效的方法，持續保護應用與數據。

4. 定期執行代碼審查

• 為企業開發軟件的公司需要通過代碼審查，在開發流程中盡早識別和修復代碼級別的錯誤，以避免各種常見的安全缺陷。
• 同時，在向生產環境遷入新的代碼之前，我們應當通過測試代碼和修復錯誤等一系列審查動作，來避免由于代碼的更改，而引入新的安全漏洞。

5. 數據加密和訪問控制

• 如今，數據加密、強密碼機制、多因素身份驗證、以及按需進行密碼恢復，已經成為了定制軟件開發的標準配置。可以說，有了對于敏感信息的加密，就算網絡攻擊者穿透了防火墻，也能夠起到一定應用級別的保護作用。
• 我們需要對定制化的應用實施恰當的訪問控制，以保證真正的用戶能夠訪問到與自己的角色相對應的服務與資源。同時，我們也要保證能夠定期進行身份與權限的透明化調整，以實現動態、靈活的管控。

6. 滲透測試

• 在定制軟件開發完成并導入生產環境后，企業可以聘請專業的滲透測試團隊，利用各種黑客級的測試工具，針對已知的安全漏洞，開展模擬攻擊，來評估軟件產品的安全性。
• 開發團隊可以根據滲透測試報告，以及里面注明的威脅嚴重等級，及時且有針對性的予以修復。
• 通常，滲透測試應當在每個月或每個季度被執行一次，以確保軟件應用的安全態勢。此外，我們也可以對定制軟件所調用和涉及到的第三方軟件，也開展相應的滲透測試工作。

小結

如今，隨著定制軟件開發的需求不斷增加，用戶和企業對于它們的安全性要求也在不斷攀升。希望上述介紹的6種安全策略，能夠幫助企業在定制軟件開發的過程中，更好地保護數據的機密性、及其應用程序本身，從而贏得用戶的信任。 

譯者介紹

陳峻 （Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗；持續以博文、專題和譯文等形式，分享前沿技術與新知；經常以線上、線下等方式，開展信息安全類培訓與授課。

原文標題：??The Top Security Strategies in Custom Software Development??，作者: Parth Barot