FIND研究員:陸浩銘
軟體安全是軟體開發的重要目標之一。安全軟體開發生命週期(SSDLC)是一種將安全性的考量融入軟體開發生命週期的每個階段的方法。SSDLC 可以幫助組織從一開始就構建安全的軟體,並在整個開發過程中不斷地進行安全測試和驗證作法。
資安事件發生時,工程師再投身救火也只能做到減少災害蔓延。軟體安全應該學習預防醫學的精神,從預防做起,安全責任需要落實到從使用者的需求開始。對開發團隊而言,可以參考數位發展部頒布的「資通安全責任等級分級辦法」中找到參考的基準,以提高軟體安全性。
SSDLC 的基本要求包括以下幾點:
建立安全意識:所有參與軟體開發的人員都應具備安全意識,了解常見的安全威脅和漏洞。
制定安全政策和程序:制定明確的安全政策和程序,以指導軟體開發過程。
進行安全測試:在軟體開發的不同階段進行安全測試,以識別和修復安全漏洞。
部署安全控制措施:部署合適的安全控制措施,以保護軟體免受攻擊。
小團隊如何實踐 SSDLC
在沒有專門的安全團隊的情況下,小企業可以採取以下措施來實踐 SSDLC:
委託外部安全專家:聘請外部安全專家來幫助制定安全政策和程序、進行安全測試和部署安全控制措施。
使用安全工具和技術:使用各種免費或低成本的安全工具和技術來幫助識別和修復安全漏洞。
利用員工的專業知識:鼓勵員工學習安全知識,並在工作中應用安全最佳實踐。
定期收集安全情資與發佈:定期收集安全情資並發佈至組織內使用,以提高員工的安全意識和技能。
對於小團隊而言,以下是一些符合 SSDLC 規範的最小要求:
制定安全政策和程序,其中包括:
密碼管理政策
訪問控制政策
安全開發標準
安全測試和漏洞修復流程
對所有員工進行安全意識教育和培訓。
在軟體開發的每個階段進行基本的安全測試,包括:
程式碼審查
漏洞掃描
滲透測試
部署基本的安全性控制措施,包括:
防火牆
入侵檢測系統
資料加密或遮罩
SSDLC 是組織構建和部署安全軟體的重要方法。開發團隊可以採取一些措施來實踐 SSDLC,以提高軟體安全性。
封面圖片來源: freepik繪製
參考資料來源:
1.https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
2.https://sdwh.dev/posts/2020/10/CyberSecurity-SSDLC/
3.https://www.pintech.com.tw/blog_list/213/ssdlc-checklist-selection-guide
4.https://www.gss.com.tw/eis/156-eis81/1500-eis81-10#chapter308