絕大多數(shù)的企業(yè)，都是在Web應(yīng)用設(shè)計(jì)結(jié)束后才開(kāi)始考慮應(yīng)用安全的問(wèn)題。他們可能在應(yīng)用開(kāi)發(fā)結(jié)束后才進(jìn)行安全測(cè)試，或者在應(yīng)用正式上線(xiàn)前進(jìn)行測(cè)試。 有的甚至在正式上線(xiàn)后才進(jìn)行安全測(cè)試。其實(shí)，業(yè)界中有很多著名的公司就是這么做的。這也就是你為什么經(jīng)常能夠聽(tīng)到那些大公司的Web應(yīng)用遭受攻擊或者數(shù)據(jù) 被盜取的新聞。

造成這一情況的根源，在于應(yīng)用安全與應(yīng)用開(kāi)發(fā)之間的脫節(jié)導(dǎo)致各種嚴(yán)重的安全漏洞。一般來(lái)說(shuō)，應(yīng)用開(kāi)發(fā)程序員往往不是安全專(zhuān)家，而大部分安全專(zhuān)家則并不是程序員。因此，在對(duì)付應(yīng)用安全問(wèn)題上，需要這兩方面的人員更好，更早地在開(kāi)發(fā)過(guò)程中進(jìn)行合作。

在開(kāi)發(fā)早期就要重視質(zhì)量控制（QA）

通常， QA是一個(gè)事后過(guò)程，或者是在開(kāi)發(fā)后期才會(huì)考慮的問(wèn)題。一個(gè)180天的開(kāi)發(fā)項(xiàng)目，可能在最后20天是留給QA的，而安全測(cè)試則可能只有3天。

這樣會(huì)產(chǎn)生幾個(gè)問(wèn)題，由于QA和安全測(cè)試在測(cè)試一個(gè)完整的應(yīng)用程序，測(cè)試可能會(huì)發(fā)現(xiàn)一些嚴(yán)重問(wèn)題，而這些問(wèn)題需要程序員來(lái)解決。

這樣問(wèn)題來(lái)了，當(dāng)這些問(wèn)題被發(fā)現(xiàn)的時(shí)候，程序員可能已經(jīng)結(jié)束項(xiàng)目了，在規(guī)定期限內(nèi)完成了項(xiàng)目要求，或者已經(jīng)去別的項(xiàng)目了。而這時(shí)候出現(xiàn)的安全問(wèn)題可能已經(jīng)不是程序員們需要解決的重點(diǎn)了。

程序員介入安全問(wèn)題越早越好

程序員在早期介入安全問(wèn)題，就意味著那些對(duì)應(yīng)用最熟悉的人，能夠有最多的時(shí)間和精力去解決安全問(wèn)題。

我們不能指望在開(kāi)發(fā)結(jié)束后，程序員轉(zhuǎn)到另外的項(xiàng)目以后，才開(kāi)始考慮安全問(wèn)題。對(duì)安全問(wèn)題的考慮，必須是漸進(jìn)的，貫穿整個(gè)開(kāi)發(fā)過(guò)程的。同樣的，安全測(cè)試也是如此。

不少人都知道，程序員們一般都抵觸安全問(wèn)題，因?yàn)樗麄儧](méi)有時(shí)間，沒(méi)有能力，沒(méi)法理解在完成應(yīng)用的同時(shí)還要去滿(mǎn)足一系列安全的要求。如果你開(kāi)發(fā)一個(gè)產(chǎn) 品的同時(shí)還對(duì)你提出一堆安全性的要求。你可能也會(huì)這么認(rèn)為。而且，你如何保證程序員們都是安全測(cè)試的專(zhuān)家，而安全測(cè)試的專(zhuān)家們又不介入程序開(kāi)發(fā)。

不少網(wǎng)絡(luò)安全公司都針對(duì)程序員進(jìn)行一些如跨站攻擊（XSS）的培訓(xùn)。然而，我們卻發(fā)現(xiàn)這樣的漏洞卻越來(lái)越多。有些漏洞甚至都存在了15年。這樣的培訓(xùn)往往不成功，因?yàn)楹芏嗥髽I(yè)并沒(méi)有采取正確的開(kāi)發(fā)流程。

程序員要善于安全測(cè)試人員與溝通

安全測(cè)試專(zhuān)家需要更好地了解應(yīng)用開(kāi)發(fā)的過(guò)程，需要給出程序員能夠理解的明確要求。通過(guò)技術(shù)和流程來(lái)測(cè)試應(yīng)用的質(zhì)量和安全性以及代碼的質(zhì)量和安全性。

安全測(cè)試人員不要在項(xiàng)目結(jié)束后才提出測(cè)試要求。對(duì)代碼的測(cè)試需要按照天為單位，或者在代碼提交后就進(jìn)行測(cè)試。對(duì)代碼的缺陷要用程序員能夠理解的方式告訴他們，并對(duì)他們?nèi)绾涡薷?提供具體的指導(dǎo)。

這也就是為什么企業(yè)需要在開(kāi)發(fā)開(kāi)始時(shí)就開(kāi)始讓程序員介入安全測(cè)試。程序員們對(duì)應(yīng)用的熟悉程度最高，可以實(shí)時(shí)地處理發(fā)現(xiàn)的安全問(wèn)題。

采取程序員優(yōu)先的應(yīng)用安全的最佳實(shí)踐

盡管很多企業(yè)還沒(méi)有意識(shí)到應(yīng)用安全應(yīng)該作為Web應(yīng)用的一項(xiàng)重要的要求，也有不少企業(yè)已經(jīng)意識(shí)到了。

這些企業(yè)理解應(yīng)用開(kāi)發(fā)過(guò)程。他們?cè)敢庾尦绦騿T去喝QA或者安全人員進(jìn)行溝通。他們采取了一系列方式來(lái)倡導(dǎo)程序員優(yōu)先的應(yīng)用安全開(kāi)發(fā)，包括培訓(xùn)，內(nèi)部 獎(jiǎng)勵(lì)（比如對(duì)程序員冠以“安全專(zhuān)家”，比如搞一些促進(jìn)程序員， QA和安全等不同小組之間合作的活動(dòng)等等）。而這樣的企業(yè)，能夠開(kāi)發(fā)出更好，更加安全的應(yīng)用。

慧都控件網(wǎng)，提供程序開(kāi)發(fā)中，各種程序安全所需的開(kāi)發(fā)控件，歡迎點(diǎn)擊查看！