在SearchSecurity.com的采访中,Wysopal解释了对开发人员进行应用安全培训的重要性,以及企业应如何让安全不仅只对高风险应用。Wysopal表示,解决遗留软件问题仍然是一个挑战,但是企业可以采取小步调,少投入,获得大回报。
编者按:这是采访问答的第一部分,主要探索应用安全计划的基础、威胁以及解决方案。
建立一个安全软件开发环境的基本要素有哪些?
Chris Wysopal:进行一些基本的基础培训是很重要的,至少应该对应用安全和应用安全原则进行一些介绍。一般情况下,我认为开发人员并不是很重视他们代码中与安全相关的漏洞和缺陷。仅仅知道有攻击者,他们会攻击这些漏洞和数据;他们是如何攻击的才真正重要。
他们觉得其实这并不是一个很大的问题。开发人员可以利用空闲时间花一个小时学习电子课堂。所以最关键的是要对为什么要修改这些错误有一个基本的认识。
企业中,典型的应用安全隐患是什么?
Wysopal: 我认为最大的安全问题是:应用安全只是特别针对风险最高的应用。企业可能有数百个高风险应用,而他们只会对其中五个考虑应用安全问题。
一些开发团队会意识到应用安全问题,但其他人忽略这个问题。最终,应用安全成了只有少数人在做的特殊的事情。而事实上,应用安全是每个开发人员需要了解的事情。每个项目都在一定程度上需要应用安全。我认为最大的问题其实是认识的差距问题。
对于试图改善软件开发的人而言,解决企业中的遗留软件问题存在什么难度?
Wysopal:这是一个很大的挑战。有些人正试图制定应用安全计划;有些人则试图开发强大的软件,他们想方设法让开发人员意识到应用安全的重要性。然而这些工作都忽略了遗留软件问题。
遗留软件就好像放在房间里的大象,没有人愿意处理。在新代码上编写安全代码远比回过头改造旧代码简单得多。
之前的开发团队走了,资源没了,只留下老代码,坦白说,是很丑的老代码。我们不能忽略之前开发的所有应用,其中有些应用可能还会继续使用10年以上,所以我们必须保护这些应用。这的确是一个挑战。
现在有很多应用安全框架和模式,你有什么指导建议?
Wysopal:我认为对于有钱投资的成熟企业或者大型企业而言,在成熟模型中构建安全(BSIMM)是一个不错的方法。实际上,真正面临挑战的是那些还没有部署应用安全的企业。这些企业需要从非常基本的东西开始,然而,现在市面上并没有这样基础的方法。
我们正在开发一种方案,旨在帮助企业从零开始部署应用安全,而不需要雇佣大的应用安全团队,也不需要做出较大的投资。开始这样做的前几天,你就能看到效果。我认为对于那些没有做出很大投入的人,这是我们指引的方向。
