软件开发安全意识淡薄是造成软件开发安全的重

作者:admin 日期:2020-08-04

软件存在安全问题的根本原因有两个:一个是软件自身存在安全问题,另一个是软件在应用中存在安全威胁(即软件面临严重外部威胁)。虽然现代软件功能强大而复杂,但没有漏洞的软件是不存在的,只有存在漏洞,就存在被利用的可能。同时,现在计算机网络硬件发展迅速,软件应用环境越来越复杂,软件应用所面临的内、外部威胁也越来越多。

随着网络和计算机技术的应用发展,信息安全漏洞也越来越多,越来越严重。据中国国家信息安全漏洞库(CNNVD)统计,2019 年 7 月 29 日至 2019 年 8 月 4 日采集安全漏洞 567 个,与上周(265 个)相比增加了113.96%。

软件安全意识淡薄。传统软件开发更倾向于软件功能,而不注重对安全风险的管理。软件开发公司工期紧、任务重,为争夺客户资源、抢占市场份额常仓促发布软件。软件开发人员将软件功能视为头等大事,对软件安全架构、安全防护措施认识不够,只关注是否实现需要的功能,很少从“攻击者”的角度思考软件安全问题。

如果采用严格的软件开发质量管理机制和多重测试技术,软件公司开发的产品缺陷率会降低很多。在软件安全分析中可以使用缺陷密度,即每千行代码中存在的软件缺陷数量,来衡量软件的安全性。

普通软件开发公司的软件缺陷密度为4~40个缺陷/KLOC(千行代码) 高水平软件开发公司的软件缺陷密度为2~4个缺陷/KLOC(千行代码) 美国NASA的软件缺陷密度为0.1个缺陷/KLOC(千行代码)

国内大量软件开发厂商对软件开发过程的管理不够重视,大量软件使用开源代码和公共模块,缺陷率普遍偏高,可被利用的已知和未知缺陷较多。

软件安全是网络安全的重要组成部分,只有从意识上重视安全,提升安全意识,才能采取措施,降低缺陷率,进而维护网络安全。

首页
电话
短信
联系