软件安全的重要性

 软件安全侧重于保护计算机系统上运行的应用程序所提供的信息和资源。软件安全常常与网络安全相混淆。

网络安全侧重于保护控制网络系统间数据流的IT基础设施。网络安全控制，如防火墙和入侵检测系统，通常不足以保证软件安全。软件安全攻击经常发生在网络安全控制无法涉及到的更高操作层。

此外，应用程序可能实施网络安全控件无法识别的专有协议。

开发或部署不安全软件并遭受安全攻击的组织会面临各种风险，这些风险具有很高的直接和间接成本。

例如，当应用程序被黑客攻击时，组织可能会遭受停机的影响，以及与取证和恢复操作相关的费用。

财务索赔与和解会增加成本，同样合规处罚也会增加成本。

投资者和客户信心的丧失可能会导致销售损失和公司声誉的损害。

根据McAfee security的一项研究，全球每年网络犯罪的成本超过4000亿美元，这表明组织必须开发和部署更安全的软件，以减少他们的整体财务风险。

随着网络犯罪变得越来越普遍，给社会造成了越来越大的负担，监管机构对此的反应是更加重视软件安全和保护敏感的客户数据。

例如，欧盟议会于2016年4月14日批准了《通用数据保护条例》(GDPR)。该规定于2018年5月25日实施，不遵守规定的机构将面临巨额罚款。

以往，黑客受到激励去攻击系统和软件，以在同行中获得声誉。今天，这种情况发生了巨大的变化。

如今，攻击的次数和频率都在增加，攻击者的主要动机是获得可观的经济收益、政治议程以及企业和国际间谍活动。过去只有少数人知道的专有黑客技术现在被公开记录，并且被许多人了解。

更糟糕的是，即使是业余爱好者也可以使用现成的工具和脚本来弥补技能的不足。

此外，自动攻击工具可以免费使用。

所有这些因素都增加了企业被黑客攻击的可能性，导致从网络攻击中恢复的业务成本更高。

软件开发模型，如Waterfall，Spiral以及Agile，通常分为计划、设计、实施与测试，以及部署和维护阶段。这有时被称为软件开发生命周期(SDLC)。

安全开发模型同样被划分为覆盖现有软件开发模型的阶段

每个阶段描述了每个软件开发阶段中必须执行的任务，从而将应用程序的暴露风险降至最低。安全开发模型的需求是精确的。每个阶段的输出作为模型中其他阶段的输入。

本文由端玛科技有限公司编写整理，转载请说明出处。

端玛科技是专门从事于应用软件安全风险评估、风险消除、培训、教育和软件安全生命开发周期SDL咨询的软件安全公司，关注我们，学习更多应用安全相关知识。