译者 | 陈峻
审校 | 孙淑娟
近年来,以B2B和B2C为代表的各类软件解决方案,已大幅简化了企业的业务与工作流程,并提高了其运营的效率。有越来越多的公司都趋向于,通过定制化的软件开发,来辅助实现运营数字化。据统计,全球企业在此方面的软件支出已高达6050亿美元。
当然,在创建定制化的企业软件产品的时候,有一个不可忽视的方面便是用户的机密数据、及其安全性。与此同时,各国政府都对企业提出了数据安全与治理的要求。为了满足这两方面需求,企业需要通过DevSecOps(开发 + 安全 + 运营)之类的方法,来积极应对。可以说,安全性在定制开发过程中,起着举足轻重的作用。
为什么数据安全如此重要?
据统计,每年全球数据泄露的平均成本为380万美元,有51%的组织不得不以支付赎金的方式,从勒索软件操控者的手中,赎回被锁死的数据。
勒索软件的增长
作为关键性的生产要素,数据能够使企业获得有价值的业务洞察力,进而做出更好的决策。与此同时,应用中的数据安全性可以给企业带来如下优势:
- 提高了应用程序的质量
只有团队越快修复错误与漏洞,应用程序才能变得更加稳定与安全。
- 降低了长期成本
在受到攻击后,企业着手修复安全漏洞的成本,往往是开发过程中的6倍。可见,更好的安全性态势能够降低长期成本。
- 满足合规的需要
如今,以GDPR为代表的各国法律法规,都会要求企业遵守相应的数据安全策略,倘若不遵守此类准则,则会导致巨额的罚款。
不过,面对如今日益猖獗的全球性网络攻击的激增,企业又该通过哪些方式减少软件系统中的漏洞,并抵御网络攻击呢?
定制软件开发的优秀安全策略
为了避免将各种漏洞和威胁被带入应用系统,企业在定制软件开发时,应当尽量遵循如下安全策略:
1. 安全的软件开发策略
- 企业在开始定制软件开发服务之初,应首先构建与开发相关的指导策略和最佳实践。在策略中,我们应该包含有关查看、评估和监控应用程序的详细说明,以降低安全漏洞的风险。
- 同时,此类策略也应规定每个团队成员在开发过程中的责任。我们可以通过适当的培训,以确保团队了解策略,并遵循行业设定的相关标准。总之,这些开发策略应该是软件定制过程中的强制性文件,需要每个成员去认真遵循。
2. 安全意识培训
- 在软件服务的开发文档已准备就绪时,安全培训显得非常必要。开发人员可以通过由安全意识培训提供的综合方法,从实际项目中,有针对性地了解应用程序的常见安全漏洞、以及可能面对的典型网络威胁。
- 此外,意识培训也能够以案例的形式,帮助开发人员了解他们最容易犯的错误,进而通过基本编程技巧和程序代码来避免发生错误。
3. 更新您的软件和系统
- 如您所知,大多数安全漏洞源于过时的软件和传统的操作系统。显然,及时更新软件、并切换到最新的企业级的系统是非常重要的。
- 毕竟,黑客和网络攻击者深谙软件与系统中的安全威胁,能够轻松地穿透其基本保护层。同时,开发人员用到的软件开发工具往往是开源的,因此他们有必要整理出一份全量的软件及组件清单。
- 可见,定期修补和打补丁,不但可以避免网络攻击者轻易地使用传统的方法,去攻击现有系统,而且能够让开发人员更加熟悉和掌握,如何用更为行之有效的方法,持续保护应用与数据。
4. 定期执行代码审查
- 为企业开发软件的公司需要通过代码审查,在开发流程中尽早识别和修复代码级别的错误,以避免各种常见的安全缺陷。
- 同时,在向生产环境迁入新的代码之前,我们应当通过测试代码和修复错误等一系列审查动作,来避免由于代码的更改,而引入新的安全漏洞。
5. 数据加密和访问控制
- 如今,数据加密、强密码机制、多因素身份验证、以及按需进行密码恢复,已经成为了定制软件开发的标准配置。可以说,有了对于敏感信息的加密,就算网络攻击者穿透了防火墙,也能够起到一定应用级别的保护作用。
- 我们需要对定制化的应用实施恰当的访问控制,以保证真正的用户能够访问到与自己的角色相对应的服务与资源。同时,我们也要保证能够定期进行身份与权限的透明化调整,以实现动态、灵活的管控。
6. 渗透测试
- 在定制软件开发完成并导入生产环境后,企业可以聘请专业的渗透测试团队,利用各种黑客级的测试工具,针对已知的安全漏洞,开展模拟攻击,来评估软件产品的安全性。
- 开发团队可以根据渗透测试报告,以及里面注明的威胁严重等级,及时且有针对性的予以修复。
- 通常,渗透测试应当在每个月或每个季度被执行一次,以确保软件应用的安全态势。此外,我们也可以对定制软件所调用和涉及到的第三方软件,也开展相应的渗透测试工作。
小结
如今,随着定制软件开发的需求不断增加,用户和企业对于它们的安全性要求也在不断攀升。希望上述介绍的6种安全策略,能够帮助企业在定制软件开发的过程中,更好地保护数据的机密性、及其应用程序本身,从而赢得用户的信任。
译者介绍
陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式,分享前沿技术与新知;经常以线上、线下等方式,开展信息安全类培训与授课。
原文标题:The Top Security Strategies in Custom Software Development,作者: Parth Barot