软件开发

中有哪些错误 许多开发人员现在都意识到安全性软件开发的重要性，但更重要的是，我们必须明白，计划执行安全性软件开发与实现安全性并不相同。事实上，一些软件开发公司必须首先将安全性完全集成到他们的开发过程中。时间和金钱限制是公司的常见障碍，但开发人员错误也可能导致整合过程的延迟或误导。

以下是开发人员可以轻松犯下的三个主要错误：错误＃1：项目最终匆忙安全，公司必须在开发过程开始时制定安全计划。这种前瞻性使开发人员能够采用安全的体系结构和设计方法，并确保代码的整体安全性。精心设计的安全程序对于今天的软件用户来说尤为重要，他们希望开发人员能够为他们提供安全的产品。当您推迟项目子系统的安全性时，您将不得不在以后重做并重新测试整个系统的大部分。您当然可以延迟代码库，例如日志记录，但如果由于复杂性和成本而推动系统访问控制的实现，那么您会错过或低估重要的项目需求。错误＃2：未能利用安全性软件开发工具和专业知识公司必须能够承受在软件中使用自己的安全方法的诱惑。特别是在身份验证模型，加密和其他复杂功能方面。没有必要重新发明轮子。开发人员只需要利用经过验证的安全代码和流程。时间已经证明这些解决方案是有效的，换句话说，这些前辈的经验可以帮助开发人员增加他们对项目安全的信心。从静态代码分析到渗透测试，当今世界上有如此多的资源，我们没有理由在产品发布之前不确定其安全性。此外，还有许多公司，如OWASP，SAFECode，BSIMM等，可以帮助您了解如何构建安全的程序。错误＃3：使用受感染的库组件，继承其他开发人员的安全漏洞开发团队需要确保使用的每个库都是已知的，并且从其他来源引入代码的来源。您还需要了解产品中使用的任何第三方代码中使用的安全验证，威胁模型和其他安全措施。从安全性和缺陷暴露的角度来看，引入第三方库和框架是一项非常危险的操作。开发外包并不免除您审查和测试所用代码的责任。 最近暴露的Java远程方法调用（RMI）反序列化和Apache Commons Collections库的CWE-502问题就是一个很好的例子。——无论如何，在类路径中包含此库都会暴露问题。是否调用库。总结“不明确的安全”与否。一些开发人员要么隐藏安全实现，要么认为非常复杂的实现会使产品更安全。事实上，基于成熟方法的有效安全实施能够更好地通过同行评审，同行评审是良好安全性的基石，可在交付前提高安全缺陷检测率和解决率。然而，遗憾的是，许多软件开发团队仍然试图在开发结束时解决安全问题。这是不可接受的。为了产生预期的结果，必须将安全性集成到整个开发过程中，从最初的项目规划到产品部署。任何在产品的预定发布日期前夕遇到数据泄露或者收到意外渗透测试结果的人都非常清楚在开发周期结束时增加安全性所带来的额外痛苦。今天，由于物联网设备和手机软件开发

在普遍存在的计算环境中，开发人员面临着越来越大的压力，需要在现实环境中理解问题并应用安全措施。这似乎是对安全实施的巨大投资，但首先做正确的事情的成本肯定远低于问题出现后的补救成本。