企业新闻

软件安全保障之软件安全问题二

2018-04-04 15:41:26 | 来源:中培企业IT培训网

风险( Risk):瑕疵和缺陷会导致风险。风险并不是失败。风险表明瑕疵或者缺陷影响软件效果的概率(风险=概率术影响)。风险衡量还必须考虑可能出现的潜在破坏。高风险不仅可能出现,而且还可能导致巨大的破坏。可以通过技术或非技术的方法来管理风险。

在实践中我们发现,软件安全问题中的缺陷和瑕疵各占一半。这说明,通过代码审核来清除缺陷只能解决一半的问题。对于那些认为软件安全仅仅是编码问题的人来说,这可能会让他们大吃一惊。显然,软件安全并不仅仅与编码有关。Microsoft报告说,在他们正进行的安全推动活动所揭示出来的问题当中,有超过500/0的问题实际上是属于软件设计方面的问题。

建造安全的软件就像建一栋房子。把正确的底层编码(比如使用可能导致缓冲区溢出的函数)比喻为使用坚固的砖块而不是用锯末来做的砖块。对于房子的完整性来说,所用的砖块类型是非常重要的,但更重要的是(如果盖房子的目的是为了将不好的东西排除在外),在设计中包含四面墙和一个屋顶。软件也是一样:使用了哪些系统调用和哪些库以及如何使用它们很重要,但是整体的设计经常取决于更多的方面。到现在为止,软件安全过多地关注代码实现,而忽略了整体设计。


  软件安全缺点可分为两种基本类型,每一种都导致了大约50%的软件安全问题。

标签: 软件安全

猜你喜欢