Những điều căn bản về bảo mật phần mềm cho quản lý lập trình phần mềm

Chia sẻ: Nguyen Thai Ha | Ngày: | Loại File: PDF | Số trang:8

Thêm vào BST

Báo xấu

83
lượt xem 9
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Có ít đi những lổ hổng bảo mật đồng nghĩa với việc chất lượng của phần mềm tốt hơn và giá thành giảm đi. Merkow và Raghavan đã cung cấp những hướng dẫn chuyên môn trong việc xây dựng và quản lý một phần mềm bảo mật đáp ứng được những tiêu chí trên. Nếu chúng ta không học được bất kì một điều gì từ hơn 60 năm phát triển phần mềm với độ bảo mật của nó, sẽ không ngẫu nhiên có code chất lượng cao....

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Những điều căn bản về bảo mật phần mềm cho quản lý lập trình phần mềm

Những điều căn bản về bảo mật phần mềm cho quản lý lập trình phần mềm
Quản Trị Mạng - Có ít đi những lổ hổng bảo mật đồng nghĩa với việc chất lượng của phần mềm tốt hơn và giá thành giảm đi. Merkow và Raghavan đã cung cấp những hướng dẫn chuyên môn trong việc xây dựng và quản lý một phần mềm bảo mật đáp ứng được những tiêu chí trên. Nếu chúng ta không học được bất kì một điều gì từ hơn 60 năm phát triển phần mềm với độ bảo mật của nó, sẽ không ngẫu nhiên có code chất lượng cao. Chính phủ các quốc gia đều biết được chất lượng và bảo mật cần phải được xác định chính xác, được thiết kế và triển khai từng bước trong suốt chu trình phát triển phần mềm (SDLC - Software Development Life - Cycle).
Các chính phủ luôn chắc chắn trong việc chỉ cho phép những phần mềm có khả năng mới được sử dụng để bảo vệ bí mật quốc gia. Tuy nhiên, quan điểm này không bao giờ được tiết lộ với thế giới thương mại và điều chúng ta thiếu ngày nay là nghi vấn về độ tin cậy của một nhóm ứng dụng. Vì vậy, bài báo này sẽ nhấn mạnh về các vấn đề và cung cấp các giải pháp nhằm giúp bạn tránh được lặp lại các lỗi lầm gây ra các phần mềm và hệ thống không bảo mật và không đáng tin cậy. Chúng ta sẽ đề cập tới mong muốn của mọi người khi họ
có một phần mềm và điều thực sự họ nhận được là gì, lý do gây ra những lỗ hổng, và khi bạn là một người quản lý, bạn có thể làm gì để nâng cấp những thói quen phát triển phần mềm của công ty mình cũng như đánh giá sự tiến bộ thành công của bạn. Người dùng mong chờ điều gì ở phần mềm? Phần mềm thực sự tiện ích với những gì chúng có thể làm được. Mọi người mua phần mềm bởi nó có thể đáp ứng được nhu cầu của họ nhằm thực hiện một số chức năng. Những chức năng này (hoặc tính năng) có thể đơn giản như cho phép người dùng viết một bức thư hoặc có thể phức tạp như tính toán lượng tiêu tốn xăng của chặng đường một chiếc tên lửa sắp được phóng lên mặt trăng. Người dùng cũng (sai lầm) hay cho rằng phần mềm họ mua được viết với code có chất lượng. Khi bạn mua một gói phần mềm, bạn thường thừa nhận chúng sẽ hoạt động giống như những gì đã được quảng cáo và bạn cũng sẽ không nghĩ về việc
chương trình này sẽ thực hiện công việc của nó tốt như thế nào. Sự thật đáng buồn là hầu hết phần mềm vẫn có những sai sót và những sai sót này có thể đe dọa ảnh hưởng tới độ bảo mật và an toàn của bất kì một hệ thống nào chúng đang hoạt động trên. Những sai sót này không chỉ xuất hiện trên chiếc máy tính chúng ta sử dụng hàng ngày, mà còn có mặt ở những thiết bị khác, ví như điện thoại di động và các thiết bị y tế và những dịch vụ khác như ngân hàng và tài chính, năng lượng, và viễn thông. Các nhà lập trình được dạy để viết code – họ không được dạy cách viết code tốt. Các tổ chức khuyến khích các nhà lập trình viết nhiều code, hơn là vì code tốt trong bối cảnh code giá rẻ và code được phát triển nhanh chóng đang thống trị thị trường. Đặc biệt, các ứng dụng Web rất dễ có khả năng bị hỏng với một số loại lỗ hổng (ví dụ Cross Site Scripting (XSS)) trừ phi nhà
lập trình có nỗ lực ngăn chặn chúng. Nếu nhà lập trình viên thất bại trong việc thêm những đoạn mã hóa đầu ra và xác nhận đầu vào phù hợp, ứng dụng này sẽ dễ dàng bị tấn công theo mặc định tới XSS. Đối với một nhà lập trình, phần mềm này có thể hoạt động như mục tiêu làm việc đặt ra nhưng không bao giờ kiểm tra xem chúng hoạt động thế nào khi chúng có một số mã độc hoặc bị tấn công trực tiếp. Viết phần mềm, giống như khi lái một chiếc xe, là một thói quen. Trước khi có ai đó dạy chúng ta cách lái xe an toàn, chúng ta hầu như không biết sự nguy hiểm của lái xe và những kỹ năng cần thiết để ngăn chặn hoặc tránh các vụ tai nạn. Ô tô thường có những cơ chế an toàn được xây dựng sẵn, nhưng khi lái xe, chúng ta sẽ phải hoàn toàn sử dụng các kỹ năng lái xe an toàn. Vấn đề này tệ đến mức nào?
Năm 2008, những lỗ hổng được tìm ra từ các phần mềm thương mại đã gia tăng đáng kể – tăng 13,5% so với năm 2007. Độ nghiêm trọng của các lỗ hổng cũng tăng lên với 15,3%. Những lỗ hổng có độ nghiêm trọng vừa có mức tăng 67,5% và có gần 92% các lổ hổng của năm 2008 đều có thể bị khai thác từ xa. Trong tổng số các lỗ hổng được phát hiện vào năm 2008, chỉ có 47% lỗ hổng có thể vá được bằng các bản vá của nhà cung cấp. Cuối năm 2008, 74% các lỗ hổng ứng dụng web được tiết lộ năm này cũng không có một bản vá nào để vá chúng. Các ứng dụng Web cũng là của Achilles Heel of Corporate IT Security. Hàng năm, tổ chức này đã chi hàng triệu đô về bảo mật cấu trúc phần mềm của mình – một phần đáng kể trong ngân quỹ toàn năm của hãng. Các khoản chi tiêu cho bảo mật phần mềm tập trung vào phát hiện những lỗ hổng hiện thời trong những phần mềm đang được tổ chức sở hữu và tìm các cách nhằm giảm những nguy cơ khhi sử dụng chúng. Viết lại các phần mềm, cho dù là chữa một lỗi hoặc thay đổi về cơ bản
cách làm việc của phần mềm, cũng như ảnh hưởng tới các khoản chi tiêu hàng năm của hãng. Code xấu cũng có ảnh hưởng xấu tới hiệu suất bất cứ khi nào ứng dụng hoặc hệ thống bị lỗi, dẫn đến việc mất mát trực tiếp hoặc gián tiếp tới công việc kinh doanh. Những lỗ hổng khác của ứng dụng Web còn ảnh hưởng xấu tới thương hiệu, danh tiếng, trộm dữ liệu và các vấn đề liên quan tới từ chối dịch vụ.