Những điều căn bản về bảo mật phần mềm cho quản lý lập trình phần mềm pot
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (165.69 KB, 8 trang )
Những điều căn bản về
bảo mật phần mềm cho
quản lý lập trình phần
mềm
Quản Trị Mạng - Có ít đi những lổ hổng bảo mật đồng nghĩa
với việc chất lượng của phần mềm tốt hơn và giá thành giảm
đi. Merkow và Raghavan đã cung cấp những hướng dẫn
chuyên môn trong việc xây dựng và quản lý một phần mềm
bảo mật đáp ứng được những tiêu chí trên.
Nếu chúng ta không học được bất kì một điều gì từ hơn 60 năm
phát triển phần mềm với độ bảo mật của nó, sẽ không ngẫu
nhiên có code chất lượng cao. Chính phủ các quốc gia đều biết
được chất lượng và bảo mật cần phải được xác định chính xác,
được thiết kế và triển khai từng bước trong suốt chu trình phát
triển phần mềm (SDLC - Software Development Life - Cycle).
Các chính phủ luôn chắc chắn trong việc chỉ cho phép những
phần mềm có khả năng mới được sử dụng để bảo vệ bí mật
quốc gia. Tuy nhiên, quan điểm này không bao giờ được tiết lộ
với thế giới thương mại và điều chúng ta thiếu ngày nay là nghi
vấn về độ tin cậy của một nhóm ứng dụng.
Vì vậy, bài báo này sẽ nhấn mạnh về các vấn đề và cung cấp các
giải pháp nhằm giúp bạn tránh được lặp lại các lỗi lầm gây ra
các phần mềm và hệ thống không bảo mật và không đáng tin
cậy. Chúng ta sẽ đề cập tới mong muốn của mọi người khi họ
có một phần mềm và điều thực sự họ nhận được là gì, lý do gây
ra những lỗ hổng, và khi bạn là một người quản lý, bạn có thể
làm gì để nâng cấp những thói quen phát triển phần mềm của
công ty mình cũng như đánh giá sự tiến bộ thành công của bạn.
Người dùng mong chờ điều gì ở phần mềm?
Phần mềm thực sự tiện ích với những gì chúng có thể làm được.
Mọi người mua phần mềm bởi nó có thể đáp ứng được nhu cầu
của họ nhằm thực hiện một số chức năng. Những chức năng này
(hoặc tính năng) có thể đơn giản như cho phép người dùng viết
một bức thư hoặc có thể phức tạp như tính toán lượng tiêu tốn
xăng của chặng đường một chiếc tên lửa sắp được phóng lên
mặt trăng.
Người dùng cũng (sai lầm) hay cho rằng phần mềm họ mua
được viết với code có chất lượng. Khi bạn mua một gói phần
mềm, bạn thường thừa nhận chúng sẽ hoạt động giống như
những gì đã được quảng cáo và bạn cũng sẽ không nghĩ về việc
chương trình này sẽ thực hiện công việc của nó tốt như thế nào.
Sự thật đáng buồn là hầu hết phần mềm vẫn có những sai sót và
những sai sót này có thể đe dọa ảnh hưởng tới độ bảo mật và an
toàn của bất kì một hệ thống nào chúng đang hoạt động trên.
Những sai sót này không chỉ xuất hiện trên chiếc máy tính
chúng ta sử dụng hàng ngày, mà còn có mặt ở những thiết bị
khác, ví như điện thoại di động và các thiết bị y tế và những
dịch vụ khác như ngân hàng và tài chính, năng lượng, và viễn
thông.
Các nhà lập trình được dạy để viết code – họ không được dạy
cách viết code tốt.
Các tổ chức khuyến khích các nhà lập trình viết nhiều code, hơn
là vì code tốt trong bối cảnh code giá rẻ và code được phát triển
nhanh chóng đang thống trị thị trường.
Đặc biệt, các ứng dụng Web rất dễ có khả năng bị hỏng với một
số loại lỗ hổng (ví dụ Cross Site Scripting (XSS)) trừ phi nhà
lập trình có nỗ lực ngăn chặn chúng. Nếu nhà lập trình viên thất
bại trong việc thêm những đoạn mã hóa đầu ra và xác nhận đầu
vào phù hợp, ứng dụng này sẽ dễ dàng bị tấn công theo mặc
định tới XSS.
Đối với một nhà lập trình, phần mềm này có thể hoạt động như
mục tiêu làm việc đặt ra nhưng không bao giờ kiểm tra xem
chúng hoạt động thế nào khi chúng có một số mã độc hoặc bị
tấn công trực tiếp.
Viết phần mềm, giống như khi lái một chiếc xe, là một thói
quen. Trước khi có ai đó dạy chúng ta cách lái xe an toàn,
chúng ta hầu như không biết sự nguy hiểm của lái xe và những
kỹ năng cần thiết để ngăn chặn hoặc tránh các vụ tai nạn. Ô tô
thường có những cơ chế an toàn được xây dựng sẵn, nhưng khi
lái xe, chúng ta sẽ phải hoàn toàn sử dụng các kỹ năng lái xe an
toàn.
Vấn đề này tệ đến mức nào?
Năm 2008, những lỗ hổng được tìm ra từ các phần mềm thương
mại đã gia tăng đáng kể – tăng 13,5% so với năm 2007. Độ
nghiêm trọng của các lỗ hổng cũng tăng lên với 15,3%. Những
lỗ hổng có độ nghiêm trọng vừa có mức tăng 67,5% và có gần
92% các lổ hổng của năm 2008 đều có thể bị khai thác từ xa.
Trong tổng số các lỗ hổng được phát hiện vào năm 2008, chỉ có
47% lỗ hổng có thể vá được bằng các bản vá của nhà cung cấp.
Cuối năm 2008, 74% các lỗ hổng ứng dụng web được tiết lộ
năm này cũng không có một bản vá nào để vá chúng.
Các ứng dụng Web cũng là của Achilles Heel of Corporate IT
Security. Hàng năm, tổ chức này đã chi hàng triệu đô về bảo
mật cấu trúc phần mềm của mình – một phần đáng kể trong
ngân quỹ toàn năm của hãng. Các khoản chi tiêu cho bảo mật
phần mềm tập trung vào phát hiện những lỗ hổng hiện thời
trong những phần mềm đang được tổ chức sở hữu và tìm các
cách nhằm giảm những nguy cơ khhi sử dụng chúng. Viết lại
các phần mềm, cho dù là chữa một lỗi hoặc thay đổi về cơ bản
cách làm việc của phần mềm, cũng như ảnh hưởng tới các
khoản chi tiêu hàng năm của hãng. Code xấu cũng có ảnh
hưởng xấu tới hiệu suất bất cứ khi nào ứng dụng hoặc hệ thống
bị lỗi, dẫn đến việc mất mát trực tiếp hoặc gián tiếp tới công
việc kinh doanh. Những lỗ hổng khác của ứng dụng Web còn
ảnh hưởng xấu tới thương hiệu, danh tiếng, trộm dữ liệu và các
vấn đề liên quan tới từ chối dịch vụ.
