筆者之前看過一篇文章寫得很好，里面提及了會(huì)寫程序的有很多人，但是會(huì)寫安全程序卻沒有幾個(gè)。 

而如果在開發(fā)初期就將安全問題納入規(guī)劃，成本是***的! 

在開發(fā)階段就落實(shí)正確而安全的程序?qū)懛?，是最徹底解決的辦法! 

當(dāng)上線之后，才發(fā)現(xiàn)程序本身就不安全，那么可能為時(shí)已晚。 

在你還沒找到補(bǔ)破洞的方法之前，資料也許已經(jīng)泄漏出去了! 

面對(duì)新版的”個(gè)人資料保護(hù)法”勢(shì)在必行，企業(yè)不得不正視Web應(yīng)用程序的安全問題。然而，企業(yè)面臨的難題在于，企業(yè)內(nèi)部的安全人員大多是IT基礎(chǔ)架構(gòu)的成員，過去聽到的”安全”話題，多是網(wǎng)管或系統(tǒng)管理組的負(fù)責(zé)領(lǐng)域。 

關(guān)于應(yīng)用程序面的安全，企業(yè)的了解相對(duì)而言很有限，而開發(fā)人員本身更不用說。我們一般會(huì)問”你會(huì)不會(huì)寫程序”，少見詢問”你會(huì)不會(huì)寫‘安全的’程序”。 

程序設(shè)計(jì)師在技能養(yǎng)成的過程中，就不曾接觸過相關(guān)話題，據(jù)了解，直至今日的大專院校仍少見”安全的程序開發(fā)”相關(guān)課程。 

再加上專案時(shí)程緊湊，能夠準(zhǔn)時(shí)、無誤又符合需求地交付上線，就是很不容易的事情，因此”安全”更是無暇顧及的事情。現(xiàn)在資訊主管要求開發(fā)者寫”安全的程序代碼”，幾乎是緣木求魚。 

弱點(diǎn)在開發(fā)早期解決，成本*** 

該怎么處理這樣的問題?許多對(duì)安全敏感性較高的產(chǎn)業(yè)，早已選擇滲透測(cè)試，請(qǐng)安全專家以黑客的手法檢驗(yàn)網(wǎng)站的安全性。然而滲透測(cè)試費(fèi)用不低，無法頻繁地執(zhí)行，一般而言，是一年1至2次，所以無法時(shí)時(shí)把關(guān)安全性。 

因此，市面上也出現(xiàn)了”靜態(tài)程序代碼安全性檢測(cè)”及”動(dòng)態(tài)程序代碼安全性檢測(cè)”工具，希望幫助企業(yè)在安全意識(shí)不足的情況下，透過工具的自動(dòng)化掃描，抓出安全性漏洞，并提供弱點(diǎn)解說與修正建議，進(jìn)而學(xué)會(huì)處理的方式。 

動(dòng)態(tài)程序代碼檢測(cè)工具及滲透測(cè)試都是在模擬黑客的手法，嘗試找到網(wǎng)站的弱點(diǎn)，并提供相關(guān)報(bào)告。這種作法比靜態(tài)程序代碼安全性檢測(cè)全面，因?yàn)榭梢宰コ霾僮飨到y(tǒng)、應(yīng)用服務(wù)器的漏洞，及設(shè)定面問題。 

不過，靜態(tài)程序代碼安全性掃描工具的強(qiáng)項(xiàng)在于，能地毯式地掃描程序代碼、抓出不安全的寫法，并提供修正建議，是從根源就做好防護(hù)的安全性作法。 

畢竟軟件上線后才發(fā)現(xiàn)問題，再去解決的成本是開發(fā)階段的100倍。 

OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美國年會(huì)上，開宗明義說道：”很多單位把大部分的安全預(yù)算花在‘黑(Hacking)’，也就是做滲透測(cè)試跟掃描。這沒什么錯(cuò)，這些工作是重要的，但是我們沒辦法把自己‘黑’得更安全?！?nbsp;

在開發(fā)階段就落實(shí)正確而安全的程序?qū)懛?，是最徹底的解決辦法。若再搭配滲透試，可進(jìn)一步驗(yàn)證成效。

【編輯推薦】

1. 如何評(píng)估和使用Web應(yīng)用程序安全測(cè)試工具？
2. Web安全系列：用WVS保障Web應(yīng)用程序安全