本文探讨了软件质量和安全的密切关系,指出安全问题本质上是质量缺陷。通过提供6个实践建议,如对开发人员进行安全培训、使用静态和运行时分析,强调应将安全融入开发过程,而不仅仅是后期测试。这样做不仅可以提高软件安全性,也有助于提升整体质量。
我在LinkedIn上看到一个帖子,有人问几个静态分析安全厂商的区别。有一个人不出所料地回答说,他们的解决方案比较好,因为当其他公司注重质量和安全时,他们在严格地执行安全。
当然,这句话很可笑。而这种想法也许正说明了目前业界应用安全问题的猖獗;例如,那些试图将安全小组与SDLC的其他部分(包括开发和测试工作)完全分开运行的组织。在这种模式下,安全小组运行自己的测试,主要是试图破坏软件,然后将安全错误反馈给开发团队。换句话说,试图在他们的代码中测试安全。我可以向你保证,这并不比在你的代码中测试质量更有效。
当然,这种安全测试是必要的,但这根本不够。虽然破坏软件确实很有用,但依靠它作为提高安全性的方法,会导致在发现错误的时候为时已晚,最终被压制。特别是,诸如不恰当的框架和算法等根源问题被扫地出门,因为时间表赢得了重写代码和将版本发布出去之间的冲突。
在我上面提到的Linkedin评论中,供应商通过声称他们的软件以某种方式更好,而实际上没有说任何有用的关于如何或为什么它更好的东西,这是在危险地误导毫无戒心的潜在客户。我无意挑剔任何一个特定的工具供应商,尤其是我自己也需要供应商提供的工具。然而,我对这种稻草人的论点感到失望,因为这种论点给人的感觉是在兜售蛇油。在这种情况下,厂商的
最低0.47元/天 解锁文章
4628
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
