应该使用什么程序或审计来评估软件系统的安全性？

Question

是否有任何标准化的安全程序或审核技术可用于评估软件的安全性？我特别感兴趣的是使用Java编写的软件审核，但是其他语言的其他技巧以及一般的实践将有助于了解as。列出经常发现的安全漏洞也会有帮助。

我正在寻找的东西是特定于软件工程实践，而不是，例如，系统管理员。

Answer 1

如果您正在寻找通用的软件安全信息，我建议您查看美国国土安全部国家网络安全司网站安全建设。除其他外，它们为不同阶段或活动、知识领域和工具提供了按各种最佳实践细分的多篇文章。它们还提供了一些链接到相关的外部资源。

MITRE公司提供共同弱点枚举。这是一种识别和讨论潜在可维护性的工具，也是识别和纠正软件中这些问题的工具。这是一个前25位最危险的软件错误的列表。并不是所有这些都适用于每一个软件，但它可以用于分析您的软件系统并确定最危险的软件。

卡内基-梅隆大学软件工程研究所的证书提供用于在Java、C和C++中进行安全编码的资源。您可以购买书籍，也可以在线查看一些信息(Java、C、C++)。CERT还枚举10，相当简单、安全的编码标准.。

我还建议大家阅读一下Gary McGraw的作品。他是.IEEE & Privacy系列文章的编辑，它们是通过站点中的构建安全性提供。McGraw还写或合作写了三本高度相关的书-- 构建安全软件:如何正确避免安全问题 (白帽书)、软件开发:如何破解代码 (黑帽子书)和软件安全:在 (阴阳书)。

就您现在所能做的事情而言，要认识到安全性需要在SDLC的整个过程中考虑，从需求到维护任务。在整个过程中牢记安全是必要的。虽然我已经链接了一些资源来讨论一般的安全问题，但重要的是要确定项目中最有可能和影响最大的安全问题，并将重点放在这些问题上。一旦确定，在评审期间使用核对表，在开发过程中强调这些特性，以及使用集成到您的过程中的工具都是必不可少的。没有一刀切的技术，你需要平衡时间、成本和减少风险的努力。