学习软件安全的意义

1学习软件安全的意义

1.1软件安全的定义

在国家标准GB/T 30998—2014中给出的定义是：软件工程与软件保障的一个方面，他提供一种系统的方法来标识、分析和追踪对危害及具有危害性功能的软件缓解措施与控制。

在早期的定义中，著名安全专家加里.麦劳格提出的定义是：“在面零蓄意威胁 其可靠性的事件的情形下依然能够提供所需功能的能力”

在现代定义中，软件安全性被定义为“软件产品在指定适用范围环境下达到对人类、业务、财产或环境造成的损害的可接受的风险级别”。强调了软件安全与数据保密的密切联系，指出了软件安全问题的根源在于软件的设计缺陷。

1.2软件安全与 络安全的区别

软件安全侧重于保护计算机系统上运行的应用程序所提供的信息和资源。软件安全攻击经常发生在 络安全控制无法涉及到的更高操作层。

而 络安全侧重于保护控制 络系统间数据流的IT基础设施。 络安全控制，如防火墙和入侵检测系统，通常不足以保证软件安全。

1.3学习软件安全的意义

因为开发或部署不安全软件并遭受安全攻击的组织会面临各种风险，这些风险具有很高的直接和间接成本所以人们开始进行软件安全。例如，当应用程序被黑客攻击时，组织可能会遭受停机的影响，甚至花费大量与取证和恢复操作相关的费用。财务索赔与和解会增加成本，同样合规处罚也会增加成本。根据McAfee security的一项研究，全球每年 络犯罪的成本超过4000亿美元，这表明组织必须开发和部署更安全的软件，以减少他们的整体财务风险。随着 络犯罪变得越来越普遍，给 会造成了越来越大的负担，监管机构对此的反应是更加重视软件安全和保护敏感的客户数据。以往，黑客受到激励去攻击系统和软件，以在同行中获得声誉。今天，这种情况发生了巨大的变化。而在当今这种情况下，攻击的次数和频率都在增加，攻击者的主要动机是获得可观的经济收益、政治议程以及企业和国际间谍活动。过去只有少数人知道的专有黑客技术现在被公开记录，并且被许多人了解。此外，自动攻击工具可以免费使用。所有这些因素都增加了企业被黑客攻击的可能性，导致从 络攻击中恢复的业务成本更高。软件开发模型，如Waterfall，Spiral以及Agile，通常分为计划、设计、实施与测试，以及部署和维护阶段。这有时被称为软件开发生命周期(SDLC)。安全开发模型同样被划分为覆盖现有软件开发模型的阶段。每个阶段描述了每个软件开发阶段中必须执行的任务，从而将应用程序的暴露风险降至最低。安全开发模型的需求是精确的。每个阶段的输出作为模型中其他阶段的输入。通过这种流程化的分工和保护手段，达到尽可能保护软件的安全，使它免受攻击和破坏。