包忠悦:安全性已经成为衡量软件质量的重要维度
9月24日下午,在360公司主办的中国互联网安全大会分论坛上,针对软件安全方面的问题,国际知名企业信息安全部门评估、咨询与工程(ACE)团队高级架构师包忠悦认为,软件安全性已经成为衡量软件质量的一个重要维度。
对于软件安全的保障,包忠悦说:“软件安全保障包括安全开发流程,不是一些简简单单孤立没有关系的。软件安全保障不等于渗透测试,不是代码整合,也不是安全评估,实际上是一个流程的体系,而软件保障目标值一是保证软件或者业务设计系统安全性。”
在包忠悦看来,任何一个软件开发设计流程都包含三个要素,分别为流程、工具支持、管理。“流程改进是需要一个逐步完善的循序渐进的过程,在OWASP项目中有一个成熟的模型,它实际上分为四个主要的业务功能,这四个业务功能第一包括治理,第二个是构建,第三验证,第四部署,然后针对每一个业务的这种功能有相应的安全的实践去支撑。”
同时,针对Cookie的安全漏洞和弱点,包忠悦分析认为, Cookie值具有可预料性,用户登陆以后,再退出的时候Cookie不失效这也是审核当中常见的安全漏洞,这样拿走Cookie可以持久发生。“比如说Padding oracle攻击,我给你一个URL这里带着一个Cookie,Cookie值是我指定的,这里对发射的服务器端,用户开始登录,就登录以后一看你这个启动里带着Cookie值,我不需要算一个新的Cookie值。”
“安全活动是软件开发活动的一部分,而不是被随后添加或‘bolted on’。” 包忠悦说,所以要尽可能早的执行安全活动,尽早发现安全缺陷,降低安全漏洞的修复成本。
据悉,本次中国互联网安全大会(ISC)由中国互联网协会和国家计算机网络应急技术处理协调中心(CNCERT/CC)指导,360公司主办,CSDN参与承办,旨在为国内外关注互联网安全的行业同仁搭建最新的信息安全技术与解决方案的交流平台 。