软件保证论坛的一份新报告代码(SAFECode)启示了卓越供应商是如何努力更安全编码到产品开发过程。
供应商提供的报告是SAFECode成员享有一些成功在其技术减少攻击的频率,包括EMC Corp .,瞻博网络,SAP和微软。但该组织还包括公司继续有一个严峻的考验,尤其是奥多比系统。
也看到“代码安全:生存指南”
尽管努力写更多的软件,Adobe已经严厉批评的漏洞攻击者可以利用。在最近的一次采访中与方案,Adobe安全主管布拉德·阿金该公司承认有很多工作要做,但问题是广泛的攻击表面的一部分,伴随着技术几乎每个人都使用。
采访中上周方案SAFECode执行董事保罗库尔茨承认100%安全的代码可能无法实现,而企业总是处理一定程度的脆弱性。但是,他说,新报告至少提供了一个路线图的例子使用其他公司能使自身发展过程比现在更好。
“软件保证是最常见的角度讨论安全工程,或者换句话说,构建安全的软件开发,”他说。“但保证的另一个重要方面是确保供应链流程的软件采购、开发和分发给保护了软件的完整性。”
SAFECode的最新论文专门处理这一领域,代表了第一个积蓄努力识别和分析软件供应商所使用的软件的完整性控制插入的保护软件漏洞沿着全球供应链时,他补充说。
在行动值得追求的供应链,提高安全SAFECode成员推荐:
*供应商合同,包括更强的语言在供应商和供应商的责任和期望。“书面协议必须显式地声明预期的后果,以及任何不遵守协议条款的,”该报告称。
*供应商技术完整性控制供应商地址从安全传输代码,系统和网络资源的共享,恶意软件扫描和安全存储。
*更严格的安全测试与静态代码分析工具,网络和web应用程序漏洞扫描器,二进制代码分析工具,恶意软件检测工具,可以发现后门漏洞等问题;和安全合规验证工具。
报告反映了一个不断扩大的趋势在信息安全社区,更少依赖于附加的防御和更多的精心编写的软件代码。代码安全趋势反映在
*崎岖的软件运动;
*BSIMM在成熟度模型,建筑安全;
*微软的安全开发生命周期(SDL);
* OWASP的发展,开放的Web应用程序安全项目;
*和新出现的安全应用程序开发从ISC2 CSSLP等认证。
阅读更多关于应用程序安全性CSOonline应用程序安全性的部分。
这个故事,“代码安全:SAFECode报告强调最佳实践”最初发表的方案 。