Hello, 各位 iT 邦幫忙 的粉絲們大家好~~~
本篇是 建構安全軟體開發 系列文的 EP01。
本系列文章的目標是:
開發人員也需要懂資安,並把資安觀點內化並落實到開發中。
很多時候開發人員在建構軟體或服務後,為了達成合約中可能有列的資安檢測需求,會委託第三方資安公司來進行外部檢測,無論是弱點掃描、滲透測試...等,而這時候...等到檢測報告出來後,也只能作一些事後的補救措施,或是處理一些重點問題/議題而已。
但這樣就真的就完成 安全開發 該做的事了嗎?
是,因為就已經能結案或進入下個階段的開發了?
但這樣各位開發者的心中難道不覺得忐忑,對這樣的作法永遠感覺這只是治標並不治本,不確定自己的程式是否在 "安全開發" 的目標上前進,這難道就無法達到一個更良好發展方向的嗎?
在此也相信許多 Developers ,在過去也都一定都曾經聽過、看過所謂的「資安」的重大事件,而對於資訊安全的一些概念也不是沒有,
但同時心裡可能也有很大的疑問:
最後的結果就是:
衷心的希望,透過這一系列的文章介紹,奠定大家對於「安全軟體開發」的 正確 觀點,並激起大家的熱情,讓每位開發者都可以在進行自己的開發作業時,也都可以落實 安全軟體開發 的觀點與信念,冀求在建構服務或系統時達成一定水準的「資安」。
而此時的你也將真的在 "建構" 「安全軟體開發」的路線上,進而駛向 "資訊安全" 的正確航道。
那今天因為是要以介紹 "建構安全軟體開發" 為主軸,所以不是要針對某個特定的程式語言、程式語法的資安考量的介紹。
而是身為一個開發人員,從「開發」的角度來看在整個軟體開發的生命週期中,所應知道的安全觀念、風險評估、威脅分析、基本安全開發知識,以及了解所應遵循安全法規...等議題來進行介紹。
期待此系列文章拋磚引玉,在開發人員的心中種下 「安全軟體開發」 的根苗來!在這個資安風險越益多變詭譎的時代,透過「建構安全軟體開發」進而達成資安落實。
行政院數位發展部於 2022/8/27 正式成立,見下列行政院公告新聞:
數位發展部8月27日成立 蘇揆:建構全民數位韌性、推動產業數位轉型、打造更安全資安環境與產業鏈
https://www.ey.gov.tw/Page/9277F759E41CCD91/1fe80b2b-0439-400f-bd52-e2a9a76e182b
好,就讓我們開始囉~~~
這個詞常被簡稱為「資安」,但其實當這個詞被簡稱為「資安」的時候,不知不覺的就被限縮成是 "資訊人員" 才要注意的,而再更進一步可能被解釋成只有特定的資訊"安全"人員,才需要關心跟執行的議題。
這其實已經有了一個很大的盲點。
因為在我們現今的這個世代,幾乎生活上的所有的大小事已經都跟數位資訊有關,更再加上台灣本身的社會與環境的特殊狀況,一般大眾可能一個不小心就可能帳號密碼被盜、信用卡被盜刷;更別說資訊服務可能一個不小心就讓系統被駭、遭受阻斷式攻擊。
舉凡數位資訊的各種事物,都將是需要受到 安全 保障的。
在討論安全時就代表著要去考慮出事的可能性,以及該承擔傷害的風險。
當外在的威脅程度不同時,我們會考慮的安全面向可能就不同,這也就代表著:
"Security may not be a choice."
就好比:
在台灣,各種安全議題的討論也都更有其特殊性,有著什麼樣的外在威脅與內在隱憂,相信大家也都知道我們身處的環境,在此就不宜作太多延伸討論???
在任何單位(個人、團體、企業、國家、社會...其後簡稱為"組織")中,有任何資訊的儲存和傳遞時就是一種 資產,和組織的經營與運作都具有有其一樣地位的 價值。
由於組織當中的資產在未經授權的遭到變更甚至是破壞,除了該組織可能會遭受到財務、利益、名譽與聲譽的損失外,也可能讓其利害關係人蒙受巨大的傷害。
"資訊安全" 的目的在於去保護組織的 資產,確保能在未經授權的情況下不被變更、竊取及破壞,並且持續不間斷地提供應有的服務,以確保組織的正常運作。
當在資訊安全的議題上來討論時,我們會需要去分析所面臨的安全威脅是什麼,若當所處的組織 資產 遭受破壞時,是否能承擔其傷害的風險。
資安,沒有絕對不出事的保證,但是否能降低其出事的風險,則是我們應當去努力做的。
更別忘了:
"防禦是面,攻擊是點"
所以開發人員是否能落實 建構安全軟體開發 觀念,去進行程式/軟體/服務/應用的開發,建構出防禦 "面" 達到 安全 就更顯得極為重要了。
推推推!!!
訂閱支持,
在台灣的街頭可能在乎的是球棒打人而不是槍擊案件。
在台灣的網路可能在乎的是鍵盤殺人而不是河蟹事件。
iThome鐵人賽
看影片追技術