不應(yīng)該將軟件安全活動(dòng)僅限于技術(shù)SDLC活動(dòng)，尤其是滲透測(cè)試。你當(dāng)然應(yīng)該利用滲透測(cè)試的優(yōu)勢(shì)，但你需要了解它的局限性。主要的限制是經(jīng)濟(jì)方面：當(dāng)你在內(nèi)部系統(tǒng)（或者即將出貨的系統(tǒng)）中發(fā)現(xiàn)一個(gè)安全問(wèn)題，解決問(wèn)題將變得非常昂貴。你要解決你所發(fā)現(xiàn)的問(wèn)題，對(duì)嗎？這里需要注意的是，軟件安全不僅僅是充斥著各種漏洞以及攻擊者威脅的技術(shù)問(wèn)題。當(dāng)然你需要做大量適當(dāng)?shù)募夹g(shù)操作，但永遠(yuǎn)不要忘記將這些操作直接聯(lián)系到業(yè)務(wù)影響和風(fēng)險(xiǎn)管理。你正在修復(fù)開(kāi)發(fā)器以確保開(kāi)發(fā)人員在最開(kāi)始制造更少的安全漏洞嗎？你正在構(gòu)建安全的中間件解決方案以供開(kāi)發(fā)人員和架構(gòu)師使用嗎？你正在測(cè)量安全活動(dòng)，并內(nèi)部公開(kāi)相關(guān)結(jié)果嗎？你應(yīng)該這樣做。這也是BSIMM涵蓋的范圍廣于架構(gòu)師、開(kāi)發(fā)人員和測(cè)試人員的工作范圍的原因。我們?cè)儐?wèn)了很多企業(yè)有關(guān)提出、創(chuàng)建和部署安全軟件的一切數(shù)據(jù)，我們記錄了這些數(shù)據(jù)，并產(chǎn)生了BSIMM。我們與跨多個(gè)垂直行業(yè)的各種規(guī)模的幾十家公司（包括軟件供應(yīng)商）的持續(xù)接觸都表明，一個(gè)涵蓋政策、風(fēng)險(xiǎn)、合規(guī)、管理、衡量、運(yùn)營(yíng)、服務(wù)水平協(xié)議以及相關(guān)條目的軟件安全計(jì)劃除了設(shè)計(jì)、編碼和測(cè)試中所有重要關(guān)鍵的因素，他們認(rèn)為是這些業(yè)務(wù)流程以及他們產(chǎn)生的文化和環(huán)境對(duì)生產(chǎn)和維護(hù)安全軟件至關(guān)重要。

為你的SSG發(fā)展和培養(yǎng)軟件安全專家（因?yàn)橹車(chē)鷽](méi)有足夠的合格的專家）。最佳軟件安全組成員是軟件安全人員，但軟件安全人員往往找不到。如果你必須從頭開(kāi)始創(chuàng)建軟件安全類型，從開(kāi)發(fā)人員開(kāi)始，教他們安全知識(shí)。不要試圖從網(wǎng)絡(luò)安全人員開(kāi)始--教他們關(guān)于軟件、編譯器、SDLC、漏洞追蹤和軟件界的一切知識(shí)。再多的傳統(tǒng)安全知識(shí)也無(wú)法克服軟件的“木訥”。應(yīng)該像種樹(shù)一樣，從播種開(kāi)始，逐漸將其培育成參天大樹(shù)。當(dāng)你開(kāi)始這樣做時(shí)，你應(yīng)該嘗試培養(yǎng)“瑞士軍刀”類型的專家，而不是重視每分鐘的專家。我一直期待找到可以審查代碼、做一些滲透測(cè)試，以及能夠解決安全問(wèn)題的人。

關(guān)注來(lái)自業(yè)務(wù)、運(yùn)營(yíng)和事件響應(yīng)人員的情報(bào)信息，并相應(yīng)地調(diào)整SSI控制。安全是一個(gè)過(guò)程，而不是一個(gè)產(chǎn)品。軟件安全更是如此。你可以構(gòu)建世界上最好的代碼，具有超級(jí)“防彈”架構(gòu)，但在操作過(guò)程中仍然可能發(fā)生問(wèn)題。使用你經(jīng)歷過(guò)（以及你的同行經(jīng)歷過(guò)）的安全攻擊來(lái)提高你的軟件安全方法，并根據(jù)業(yè)務(wù)重要性來(lái)進(jìn)行調(diào)整。盡可能地了解你的敵人。

仔細(xì)追蹤你的數(shù)據(jù)，知道數(shù)據(jù)的位置，無(wú)論你的架構(gòu)多么云計(jì)算化。云時(shí)代已經(jīng)來(lái)臨，你的數(shù)據(jù)將被轉(zhuǎn)移到云中。請(qǐng)了解清楚，你不能將軟件安全責(zé)任外包給你的云供應(yīng)商。你的客戶還依賴你來(lái)保護(hù)他們的數(shù)據(jù)，在某些情況下，政府還會(huì)監(jiān)管這種責(zé)任。云計(jì)算的弊端在于應(yīng)用在云端運(yùn)行?，F(xiàn)在正確地構(gòu)建，能讓以后的日子更輕松。

不要單純地依靠安全特性與功能來(lái)構(gòu)建安全軟件，因?yàn)榘踩钦麄€(gè)系統(tǒng)的新興資產(chǎn)，它依賴于正確地建立和整合所有部分。無(wú)論我們說(shuō)多少次，開(kāi)發(fā)人員、架構(gòu)師和建造者仍然將安全作為一件事情。他們接受的多年的培訓(xùn)都是將系統(tǒng)認(rèn)為是特性和功能集，這是我們需要克服的。不要陷入“神奇加密神話”的陷阱。加密當(dāng)然是有用的，一些系統(tǒng)仍將需要加密功能，但安全是一個(gè)系統(tǒng)級(jí)屬性。聰明的攻擊者很少會(huì)試圖攻破加密功能，他們往往會(huì)攻擊系統(tǒng)其它晦澀部分的漏洞。當(dāng)你在選擇和部署安全功能時(shí)，請(qǐng)確保你花了盡可能多的實(shí)踐來(lái)試圖消除漏洞和問(wèn)題。即使是具有良好加密、強(qiáng)大的身份驗(yàn)證、細(xì)粒度授權(quán)、費(fèi)解的CAPTCHA以及很多其他完美編碼的安全功能的軟件，都可能遭受攻擊。這些功能通常會(huì)阻止授權(quán)用戶做已知的不好的事情。但他們很少阻止未經(jīng)授權(quán)的用戶做未知的不好的事情。你需要一個(gè)軟件安全計(jì)劃來(lái)為整個(gè)產(chǎn)品組合有效且高效地構(gòu)建安全軟件。

你應(yīng)該修復(fù)已識(shí)別的軟件問(wèn)題：漏洞和缺陷。這很討厭，但在實(shí)踐中，軟件安全就是這樣的。你聘請(qǐng)一些洗心革面的黑客來(lái)進(jìn)行滲透測(cè)試，你知道他們已經(jīng)洗心革面了，因?yàn)樗麄兪沁@樣告訴你的。在你讓他們從外部探測(cè)你的系統(tǒng)的一周內(nèi)，他們就找出六個(gè)安全漏洞，然而，他們可能只會(huì)告訴你其中的五個(gè)漏洞。你修復(fù)了兩個(gè)看似可修復(fù)的漏洞，然后宣布勝利。但其他四個(gè)漏洞呢？簡(jiǎn)單地說(shuō)，如果你將所有精力花費(fèi)在通過(guò)架構(gòu)風(fēng)險(xiǎn)分析、代碼審查和滲透測(cè)試來(lái)找出軟件中的問(wèn)題，而不花時(shí)間修復(fù)你找出的漏洞，你的軟件將變得更加不安全。修復(fù)軟件吧！當(dāng)然，修復(fù)漏洞是一個(gè)風(fēng)險(xiǎn)管理活動(dòng)，沒(méi)有哪個(gè)公司有無(wú)限的資金投入其中。因此，企業(yè)應(yīng)該根據(jù)影響、成本和其他重要業(yè)務(wù)因素，來(lái)優(yōu)先漏洞修復(fù)順序。然而，極少數(shù)企業(yè)會(huì)追蹤每個(gè)沒(méi)有被修復(fù)的漏洞。10個(gè)低嚴(yán)重漏洞會(huì)變成中級(jí)嚴(yán)重漏洞嗎？那100個(gè)？1000個(gè)漏洞呢？此外，極少數(shù)企業(yè)會(huì)關(guān)聯(lián)來(lái)自多個(gè)測(cè)試方法的研究結(jié)果，而是在每個(gè)測(cè)試后，獨(dú)立作出決定。分別來(lái)自架構(gòu)評(píng)估、靜態(tài)分析、模糊技術(shù)以及滲透測(cè)試的低嚴(yán)重性漏洞相結(jié)合，會(huì)成為緊急漏洞嗎？我也不知道，但企業(yè)應(yīng)該考慮這個(gè)問(wèn)題。修復(fù)軟件可能更容易。

有關(guān)描述性模型的規(guī)范性建議

最終，你需要確定和采用你自己的規(guī)范性SSDL方法，然后使用描述性的測(cè)量系統(tǒng)來(lái)跟蹤進(jìn)度。我們的建議是使用BSIMM來(lái)測(cè)量你的軟件安全計(jì)劃的當(dāng)前狀態(tài)，確定你應(yīng)該開(kāi)始著手的其他軟件安全活動(dòng)。如果你的企業(yè)確定需要投資的領(lǐng)域之一與SDL中的一個(gè)做法相匹配（舉例來(lái)說(shuō)），你可以利用微軟對(duì)此的智慧來(lái)做。

鑒于多年來(lái)我們一直在觀察51家公司的真正的軟件安全計(jì)劃，我們可以自信地說(shuō)，如果你的軟件安全計(jì)劃沒(méi)有每年進(jìn)行改善，你將落后于其他公司。我們知道，每個(gè)軟件安全計(jì)劃都是獨(dú)一無(wú)二的，就像所有其他軟件安全計(jì)劃一樣，你的同樣也是獨(dú)特的。幸運(yùn)的是，無(wú)論你為軟件安全采取哪種規(guī)范性方法，BSIMM都可以作為測(cè)量標(biāo)桿、靈感源泉以及是否進(jìn)步的客觀測(cè)量標(biāo)準(zhǔn)。