譯者 | 陳峻

審校 | 孫淑娟

近年來，以B2B和B2C為代表的各類軟件解決方案，已大幅簡化了企業(yè)的業(yè)務(wù)與工作流程，并提高了其運營的效率。有越來越多的公司都趨向于，通過定制化的軟件開發(fā)，來輔助實現(xiàn)運營數(shù)字化。據(jù)統(tǒng)計，??全球企業(yè)在此方面的軟件支出已高達6050億美元??。

當然，在創(chuàng)建定制化的企業(yè)軟件產(chǎn)品的時候，有一個不可忽視的方面便是用戶的機密數(shù)據(jù)、及其安全性。與此同時，各國政府都對企業(yè)提出了數(shù)據(jù)安全與治理的要求。為了滿足這兩方面需求，企業(yè)需要通過DevSecOps（開發(fā) + 安全 + 運營）之類的方法，來積極應(yīng)對?？梢哉f，安全性在定制開發(fā)過程中，起著舉足輕重的作用。

為什么數(shù)據(jù)安全如此重要?

據(jù)統(tǒng)計，每年全球數(shù)據(jù)泄露的平均成本為380萬美元，有51%的組織不得不以支付贖金的方式，從勒索軟件操控者的手中，贖回被鎖死的數(shù)據(jù)。

勒索軟件的增長

作為關(guān)鍵性的生產(chǎn)要素，數(shù)據(jù)能夠使企業(yè)獲得有價值的業(yè)務(wù)洞察力，進而做出更好的決策。與此同時，應(yīng)用中的數(shù)據(jù)安全性可以給企業(yè)帶來如下優(yōu)勢：

• 提高了應(yīng)用程序的質(zhì)量

只有團隊越快修復錯誤與漏洞，應(yīng)用程序才能變得更加穩(wěn)定與安全。

• 降低了長期成本

在受到攻擊后，企業(yè)著手修復安全漏洞的成本，往往是開發(fā)過程中的6倍?？梢?，更好的安全性態(tài)勢能夠降低長期成本。

• 滿足合規(guī)的需要

如今，以GDPR為代表的各國法律法規(guī)，都會要求企業(yè)遵守相應(yīng)的數(shù)據(jù)安全策略，倘若不遵守此類準則，則會導致巨額的罰款。

不過，面對如今日益猖獗的全球性網(wǎng)絡(luò)攻擊的激增，企業(yè)又該通過哪些方式減少軟件系統(tǒng)中的漏洞，并抵御網(wǎng)絡(luò)攻擊呢？

定制軟件開發(fā)的優(yōu)秀安全策略

為了避免將各種漏洞和威脅被帶入應(yīng)用系統(tǒng)，企業(yè)在定制軟件開發(fā)時，應(yīng)當盡量遵循如下安全策略： 

1. 安全的軟件開發(fā)策略

• 企業(yè)在開始定制軟件開發(fā)服務(wù)之初，應(yīng)首先構(gòu)建與開發(fā)相關(guān)的指導策略和最佳實踐。在策略中，我們應(yīng)該包含有關(guān)查看、評估和監(jiān)控應(yīng)用程序的詳細說明，以降低安全漏洞的風險。
• 同時，此類策略也應(yīng)規(guī)定每個團隊成員在開發(fā)過程中的責任。我們可以通過適當?shù)呐嘤?，以確保團隊了解策略，并遵循行業(yè)設(shè)定的相關(guān)標準?？傊?，這些開發(fā)策略應(yīng)該是軟件定制過程中的強制性文件，需要每個成員去認真遵循。

2. 安全意識培訓

• 在軟件服務(wù)的開發(fā)文檔已準備就緒時，安全培訓顯得非常必要。開發(fā)人員可以通過由安全意識培訓提供的綜合方法，從實際項目中，有針對性地了解應(yīng)用程序的常見安全漏洞、以及可能面對的典型網(wǎng)絡(luò)威脅。
• 此外，意識培訓也能夠以案例的形式，幫助開發(fā)人員了解他們最容易犯的錯誤，進而通過基本編程技巧和程序代碼來避免發(fā)生錯誤。

3. 更新您的軟件和系統(tǒng)

• 如您所知，大多數(shù)安全漏洞源于過時的軟件和傳統(tǒng)的操作系統(tǒng)。顯然，及時更新軟件、并切換到最新的企業(yè)級的系統(tǒng)是非常重要的。
• 畢竟，黑客和網(wǎng)絡(luò)攻擊者深諳軟件與系統(tǒng)中的安全威脅，能夠輕松地穿透其基本保護層。同時，開發(fā)人員用到的軟件開發(fā)工具往往是開源的，因此他們有必要整理出一份全量的軟件及組件清單。
• 可見，定期修補和打補丁，不但可以避免網(wǎng)絡(luò)攻擊者輕易地使用傳統(tǒng)的方法，去攻擊現(xiàn)有系統(tǒng)，而且能夠讓開發(fā)人員更加熟悉和掌握，如何用更為行之有效的方法，持續(xù)保護應(yīng)用與數(shù)據(jù)。

4. 定期執(zhí)行代碼審查

• 為企業(yè)開發(fā)軟件的公司需要通過代碼審查，在開發(fā)流程中盡早識別和修復代碼級別的錯誤，以避免各種常見的安全缺陷。
• 同時，在向生產(chǎn)環(huán)境遷入新的代碼之前，我們應(yīng)當通過測試代碼和修復錯誤等一系列審查動作，來避免由于代碼的更改，而引入新的安全漏洞。

5. 數(shù)據(jù)加密和訪問控制

• 如今，數(shù)據(jù)加密、強密碼機制、多因素身份驗證、以及按需進行密碼恢復，已經(jīng)成為了定制軟件開發(fā)的標準配置?？梢哉f，有了對于敏感信息的加密，就算網(wǎng)絡(luò)攻擊者穿透了防火墻，也能夠起到一定應(yīng)用級別的保護作用。
• 我們需要對定制化的應(yīng)用實施恰當?shù)脑L問控制，以保證真正的用戶能夠訪問到與自己的角色相對應(yīng)的服務(wù)與資源。同時，我們也要保證能夠定期進行身份與權(quán)限的透明化調(diào)整，以實現(xiàn)動態(tài)、靈活的管控。

6. 滲透測試

• 在定制軟件開發(fā)完成并導入生產(chǎn)環(huán)境后，企業(yè)可以聘請專業(yè)的滲透測試團隊，利用各種黑客級的測試工具，針對已知的安全漏洞，開展模擬攻擊，來評估軟件產(chǎn)品的安全性。
• 開發(fā)團隊可以根據(jù)滲透測試報告，以及里面注明的威脅嚴重等級，及時且有針對性的予以修復。
• 通常，滲透測試應(yīng)當在每個月或每個季度被執(zhí)行一次，以確保軟件應(yīng)用的安全態(tài)勢。此外，我們也可以對定制軟件所調(diào)用和涉及到的第三方軟件，也開展相應(yīng)的滲透測試工作。

小結(jié)

如今，隨著定制軟件開發(fā)的需求不斷增加，用戶和企業(yè)對于它們的安全性要求也在不斷攀升。希望上述介紹的6種安全策略，能夠幫助企業(yè)在定制軟件開發(fā)的過程中，更好地保護數(shù)據(jù)的機密性、及其應(yīng)用程序本身，從而贏得用戶的信任。 

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗；持續(xù)以博文、專題和譯文等形式，分享前沿技術(shù)與新知；經(jīng)常以線上、線下等方式，開展信息安全類培訓與授課。

原文標題：??The Top Security Strategies in Custom Software Development??，作者: Parth Barot