制作安全的软件应该采取的若干步骤

保证软件的安全不需要完全改变你的软件开发生命周期。《Software Security: Building Security In》(软件安全:内建安全)一书的作者Gary McGraw日前接受了SearchAppSecurity.com网站的采访，谈了有关软件安全的最佳做法。这些最佳做法能够很容易地添加到你的软件开发生命周期中。

　　问:你是一个建立安全软件概念的早期宣传者。你认为安全行业取得了什么进步?

　　McGraw:我们已经取得了很多进步。我对我们这个行业的发展轨迹感到很乐观。最初，我们很难说服任何人相信软件是计算机安全的大问题。现在，每一个人都相信了。后来，我们很难说服人们相信谁能够解决这个问题。现在，每一个人都认识到只有软件人员才能解决这个问题。这两件事情是非常好的趋势。

　　问:关于在软件开发生命周期中建立安全的事情，这方面有什么进展?

　　McGraw:你可以把机构按照其特点分为三个成熟的阶段。第一个阶段是人们完全不知道这个问题。在这种机构中，只有一个做软件安全的人。他有3万美元的预算，他负责管理这个大约有2万员工的公司的软件安全。他在设法保证这个机构的软件安全。这种类型的公司非常普遍。

　　第二个阶段是我称作“软件安全消防队”的地方。这种机构有大约有20至30人负责软件安全问题。他们的工作就是使用工具软件测试代码的性能，并且在人们制作查找软件瑕疵的软件时提供帮助。这是一件好事情，但是，这是一种事后的反应。就像在一个消防队那样，非常重要的事情是教会你的开发人员如何自己处理安全问题，而不是等到发生火灾的时候跑来跑去地救火。

　　第三个阶段是企业开始在整个开发机构中采用软件安全的最佳做法，使用最佳做法调整软件开发生命周期，就像我在书中介绍的那样。我想，处在这个阶段的机构是极少的。但是，很明显的事情是每一个结构都需要达到这个水平。

　　问:在你最新出版的《Software Security: Building Security In》一书中，你写到了软件安全的最佳做法，叫做“接触点”。这种最佳做法能不能在没有较大改变的情况下应用到机构的工作方式中?

　　McGraw:我曾努力找出不需要你完全改变你的软件开发生命周期的一些做法。软件开发过程就像宗教信仰一样。你最不该做的事就是设法说服人们相信他们首先要做的事情就是改变信仰，然后他们需要增加更多的材料。这些最佳做法是“接触点”的原因是它暗示着光明。无论你信奉什么宗教，这些方法都适用。

　　问:你的第一个接触点是使用工具审查代码。让我们谈谈这个工具领域的话题吧。

　　McGraw:目前有两种应用广泛的基本的软件安全工具。安全测试工具能够显示你出了故障。他们用这些刻板的黑匣子进行测试。但是，如果你运行了这些测试并且没有发现问题，那并不意味着你就是安全的。那仅仅是表示你没有发现任何问题。我喜欢把这些工具称作“错误计量器”。我希望每一个人都使用这些工具，因为大多数人都不知道他们陷入了巨大的麻烦之中并且不知道他们的软件需要修复。如果你把这些错误计量器当作安全计量器(其实它们并不是)，他们就可能得到一种事情已经完成的假象。