我们应该花多少钱来改进软件安全呢？

Question

是否有一种“科学”的方法来确定应该花费多少资源/金钱来提高软件的安全性？

我在一个团队中工作，我们的工作由产品负责人(ala )优先处理。产品所有者在某种程度上是销售驱动的，专注于客户要求的新功能，而不是基础设施。我想我需要一个方法来说服他，我们需要花更多的时间来改善安全。

当然，我不想通过散布恐惧来说服他，我也不确定我们应该花多少钱来改善安全。当然，我们软件的安全性一直在提高，但我怀疑--我不确定--加倍努力在该地区的努力是明智的。

关于这一点，我有一个很弱的记忆，其中提出了如下建议：

1. 想一想系统安全性的一个弱点
2. 估计一次成功的攻击会以失去的/满足的顾客的代价来计算(X)
3. 估计在某一年发生这种情况的可能性有多大。(Y)
4. 根据X和Y计算应该花多少钱来修复这些弱点。我们不需要马上解决这个问题，但是我们应该花Z%在这个问题上。

Answer 1

您可能会花费同样多的钱在分析上，就像您只需要修复已知的安全问题一样，并且遵循好的程序设计和最佳的安全实践。

1. 想想你可能永远不知道的信息世界。当在用C编写的软件中发现缓冲区溢出攻击时，没有人预见到这种情况(除了攻击者)。谁期待有人用字符淹没缓冲区，以便将代码注入到它的边界之外？如果你以前从没见过，你怎么能预测到呢？
2. 你最大的威胁不是高度复杂的网络攻击，而是普通人的因素。那些把他们的密码写在容易访问的地方。的人，因为他们不记得了。社会工程攻击。USB闪存驱动器的临时使用。网络钓鱼。你不能用科技来抵抗这些，除非你.
3. 拔掉插头。政府机构如何应对这种不确定性？他们拔掉插头。含有机密信息的计算机在物理上和电气上都与互联网和其他计算机隔离。嗯，就是直到 最近。
4. 你没有资格处理这个问题。你的专长不是计算机安全(嗯，除非是这样。)但是，您可能不会编写应用程序，除非它们是防御程序，如病毒扫描器)。

那么你是做什么的？派你的人参加面向编程的安全课程。遵循安全和软件设计的最佳实践。了解所有关于常见安全攻击的知识，以及如何防范这些攻击。祈祷你们的手指。

如果你还想要分析，请聘请一位拥有必要专业知识的顾问。