定制软件开发中的六大优秀安全策略

译者 | 陈峻

审校 | 孙淑娟

近年来，以B2B和B2C为代表的各类软件解决方案，已大幅简化了企业的业务与工作流程，并提高了其运营的效率。有越来越多的公司都趋向于，通过定制化的软件开发，来辅助实现运营数字化。据统计，​​全球企业在此方面的软件支出已高达6050亿美元​​。

当然，在创建定制化的企业软件产品的时候，有一个不可忽视的方面便是用户的机密数据、及其安全性。与此同时，各国政府都对企业提出了数据安全与治理的要求。为了满足这两方面需求，企业需要通过DevSecOps（开发 + 安全 + 运营）之类的方法，来积极应对。可以说，安全性在定制开发过程中，起着举足轻重的作用。

为什么数据安全如此重要?

据统计，每年全球数据泄露的平均成本为380万美元，有51%的组织不得不以支付赎金的方式，从勒索软件操控者的手中，赎回被锁死的数据。

勒索软件的增长

作为关键性的生产要素，数据能够使企业获得有价值的业务洞察力，进而做出更好的决策。与此同时，应用中的数据安全性可以给企业带来如下优势：

• 提高了应用程序的质量

只有团队越快修复错误与漏洞，应用程序才能变得更加稳定与安全。

• 降低了长期成本

在受到攻击后，企业着手修复安全漏洞的成本，往往是开发过程中的6倍。可见，更好的安全性态势能够降低长期成本。

• 满足合规的需要

如今，以GDPR为代表的各国法律法规，都会要求企业遵守相应的数据安全策略，倘若不遵守此类准则，则会导致巨额的罚款。

不过，面对如今日益猖獗的全球性网络攻击的激增，企业又该通过哪些方式减少软件系统中的漏洞，并抵御网络攻击呢？

定制软件开发的优秀安全策略

为了避免将各种漏洞和威胁被带入应用系统，企业在定制软件开发时，应当尽量遵循如下安全策略： 

1. 安全的软件开发策略

• 企业在开始定制软件开发服务之初，应首先构建与开发相关的指导策略和最佳实践。在策略中，我们应该包含有关查看、评估和监控应用程序的详细说明，以降低安全漏洞的风险。
• 同时，此类策略也应规定每个团队成员在开发过程中的责任。我们可以通过适当的培训，以确保团队了解策略，并遵循行业设定的相关标准。总之，这些开发策略应该是软件定制过程中的强制性文件，需要每个成员去认真遵循。

2. 安全意识培训

• 在软件服务的开发文档已准备就绪时，安全培训显得非常必要。开发人员可以通过由安全意识培训提供的综合方法，从实际项目中，有针对性地了解应用程序的常见安全漏洞、以及可能面对的典型网络威胁。
• 此外，意识培训也能够以案例的形式，帮助开发人员了解他们最容易犯的错误，进而通过基本编程技巧和程序代码来避免发生错误。

3. 更新您的软件和系统

• 如您所知，大多数安全漏洞源于过时的软件和传统的操作系统。显然，及时更新软件、并切换到最新的企业级的系统是非常重要的。
• 毕竟，黑客和网络攻击者深谙软件与系统中的安全威胁，能够轻松地穿透其基本保护层。同时，开发人员用到的软件开发工具往往是开源的，因此他们有必要整理出一份全量的软件及组件清单。
• 可见，定期修补和打补丁，不但可以避免网络攻击者轻易地使用传统的方法，去攻击现有系统，而且能够让开发人员更加熟悉和掌握，如何用更为行之有效的方法，持续保护应用与数据。

4. 定期执行代码审查

• 为企业开发软件的公司需要通过代码审查，在开发流程中尽早识别和修复代码级别的错误，以避免各种常见的安全缺陷。
• 同时，在向生产环境迁入新的代码之前，我们应当通过测试代码和修复错误等一系列审查动作，来避免由于代码的更改，而引入新的安全漏洞。

5. 数据加密和访问控制

• 如今，数据加密、强密码机制、多因素身份验证、以及按需进行密码恢复，已经成为了定制软件开发的标准配置。可以说，有了对于敏感信息的加密，就算网络攻击者穿透了防火墙，也能够起到一定应用级别的保护作用。
• 我们需要对定制化的应用实施恰当的访问控制，以保证真正的用户能够访问到与自己的角色相对应的服务与资源。同时，我们也要保证能够定期进行身份与权限的透明化调整，以实现动态、灵活的管控。

6. 渗透测试

• 在定制软件开发完成并导入生产环境后，企业可以聘请专业的渗透测试团队，利用各种黑客级的测试工具，针对已知的安全漏洞，开展模拟攻击，来评估软件产品的安全性。
• 开发团队可以根据渗透测试报告，以及里面注明的威胁严重等级，及时且有针对性的予以修复。
• 通常，渗透测试应当在每个月或每个季度被执行一次，以确保软件应用的安全态势。此外，我们也可以对定制软件所调用和涉及到的第三方软件，也开展相应的渗透测试工作。

小结

如今，随着定制软件开发的需求不断增加，用户和企业对于它们的安全性要求也在不断攀升。希望上述介绍的6种安全策略，能够帮助企业在定制软件开发的过程中，更好地保护数据的机密性、及其应用程序本身，从而赢得用户的信任。 

译者介绍

陈峻 （Julian Chen），IDC.NET社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验；持续以博文、专题和译文等形式，分享前沿技术与新知；经常以线上、线下等方式，开展信息安全类培训与授课。

原文标题：​​The Top Security Strategies in Custom Software Development​​，作者: Parth Barot