iT邦幫忙

2022 iThome 鐵人賽

DAY 1
0
Security

建構安全軟體開發系列 第 1

建構安全軟體開發 EP 01

  • 分享至 

  • xImage
  •  

Hello, 各位 iT 邦幫忙 的粉絲們大家好~~~

本篇是 建構安全軟體開發 系列文的 EP01。


本系列文章的目標是:
開發人員也需要懂資安,並把資安觀點內化並落實到開發中。

很多時候開發人員在建構軟體或服務後,為了達成合約中可能有列的資安檢測需求,會委託第三方資安公司來進行外部檢測,無論是弱點掃描、滲透測試...等,而這時候...等到檢測報告出來後,也只能作一些事後的補救措施,或是處理一些重點問題/議題而已。

但這樣就真的就完成 安全開發 該做的事了嗎?

是,因為就已經能結案或進入下個階段的開發了?

但這樣各位開發者的心中難道不覺得忐忑,對這樣的作法永遠感覺這只是治標並不治本,不確定自己的程式是否在 "安全開發" 的目標上前進,這難道就無法達到一個更良好發展方向的嗎?

在此也相信許多 Developers ,在過去也都一定都曾經聽過、看過所謂的「資安」的重大事件,而對於資訊安全的一些概念也不是沒有,

但同時心裡可能也有很大的疑問:

  • 「開發者為什麼要落實安全軟體開發,最後不是都會有資安人員進行檢測與把關?」
  • 「為什麼我要在寫程式時來驗證程式的安全性?」
  • 「我又不是資安人員,可能也不懂 domain,怎麼達成資安的要求?」

最後的結果就是:

  • 「資安,那都是高層/官嘴巴上說說而已」
  • 「落實資安作為?沒那 "美國" 時間啦!」
  • 「資安,只不過是現今被拿來炒作的話題而已。在現實中,誰會真的落實安全軟體開發?有作資安檢測就很多了啦!」
  • 「只要把程式交付 "功能" 就好,資安哪有什麼要特別注意的!」

衷心的希望,透過這一系列的文章介紹,奠定大家對於「安全軟體開發」的 正確 觀點,並激起大家的熱情,讓每位開發者都可以在進行自己的開發作業時,也都可以落實 安全軟體開發 的觀點與信念,冀求在建構服務或系統時達成一定水準的「資安」。

而此時的你也將真的在 "建構" 「安全軟體開發」的路線上,進而駛向 "資訊安全" 的正確航道。


那今天因為是要以介紹 "建構安全軟體開發" 為主軸,所以不是要針對某個特定的程式語言、程式語法的資安考量的介紹。

而是身為一個開發人員,從「開發」的角度來看在整個軟體開發的生命週期中,所應知道的安全觀念、風險評估、威脅分析、基本安全開發知識,以及了解所應遵循安全法規...等議題來進行介紹。

期待此系列文章拋磚引玉,在開發人員的心中種下 「安全軟體開發」 的根苗來!在這個資安風險越益多變詭譎的時代,透過「建構安全軟體開發」進而達成資安落實。

政策宣導

行政院數位發展部於 2022/8/27 正式成立,見下列行政院公告新聞:
數位發展部8月27日成立 蘇揆:建構全民數位韌性、推動產業數位轉型、打造更安全資安環境與產業鏈
https://www.ey.gov.tw/Page/9277F759E41CCD91/1fe80b2b-0439-400f-bd52-e2a9a76e182b

好,就讓我們開始囉~~~

資訊安全

這個詞常被簡稱為「資安」,但其實當這個詞被簡稱為「資安」的時候,不知不覺的就被限縮成是 "資訊人員" 才要注意的,而再更進一步可能被解釋成只有特定的資訊"安全"人員,才需要關心跟執行的議題。

這其實已經有了一個很大的盲點。

因為在我們現今的這個世代,幾乎生活上的所有的大小事已經都跟數位資訊有關,更再加上台灣本身的社會與環境的特殊狀況,一般大眾可能一個不小心就可能帳號密碼被盜、信用卡被盜刷;更別說資訊服務可能一個不小心就讓系統被駭、遭受阻斷式攻擊。

舉凡數位資訊的各種事物,都將是需要受到 安全 保障的。

討論 "安全" 的觀點

在討論安全時就代表著要去考慮出事的可能性,以及該承擔傷害的風險。

當外在的威脅程度不同時,我們會考慮的安全面向可能就不同,這也就代表著:

"Security may not be a choice."

就好比:

  • 在以色列的街頭可能在乎的是自殺炸彈客而不是小偷。
  • 在台灣的街頭可能在乎的是球棒打人而不是槍擊案件。

在台灣,各種安全議題的討論也都更有其特殊性,有著什麼樣的外在威脅與內在隱憂,相信大家也都知道我們身處的環境,在此就不宜作太多延伸討論???

所以 "資訊安全" 該考慮的是什麼?

在任何單位(個人、團體、企業、國家、社會...其後簡稱為"組織")中,有任何資訊的儲存和傳遞時就是一種 資產,和組織的經營與運作都具有有其一樣地位的 價值

由於組織當中的資產在未經授權的遭到變更甚至是破壞,除了該組織可能會遭受到財務、利益、名譽與聲譽的損失外,也可能讓其利害關係人蒙受巨大的傷害。

"資訊安全" 的目的在於去保護組織的 資產,確保能在未經授權的情況下不被變更、竊取及破壞,並且持續不間斷地提供應有的服務,以確保組織的正常運作。

當在資訊安全的議題上來討論時,我們會需要去分析所面臨的安全威脅是什麼,若當所處的組織 資產 遭受破壞時,是否能承擔其傷害的風險。

資安,沒有絕對不出事的保證,但是否能降低其出事的風險,則是我們應當去努力做的。

更別忘了:

"防禦是面,攻擊是點"

所以開發人員是否能落實 建構安全軟體開發 觀念,去進行程式/軟體/服務/應用的開發,建構出防禦 "面" 達到 安全 就更顯得極為重要了。

Information Security



下一篇
建構安全軟體開發 EP 02
系列文
建構安全軟體開發30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
黑修斯
iT邦新手 4 級 ‧ 2022-09-05 00:48:01

推推推!!!

訂閱支持,

在台灣的街頭可能在乎的是球棒打人而不是槍擊案件。
在台灣的網路可能在乎的是鍵盤殺人而不是河蟹事件。

/images/emoticon/emoticon01.gif

我要留言

立即登入留言