文档介绍:Software Security
Fortify China Consultant:WangHong
hwang@
主要内容
软件安全基本概念
软件安全的重要性
分析软件安全越来越严重的原因和根源
解决软件安全问题的措施和方法
基本概念
软件安全:
----在软件受到恶意的攻击下,软件能够正常运行(功能/性能)
软件安全研究:
----了解产生软件安全风险的原因,并怎样去规避他们
构建安全软件:
----在软件的设计、开发、测试与管理等每一个环节都要保证软件的安全性,同还要不断对开发人员,设计人员和用户进行安全知识的教育
“ Building secure software: designing software to be secure, make sure that software is secure ,educating software developers ,architects and users about how to build security in”
为什么软件安全如此重要?
信息安全的期望
信息安全的现状
软件安全漏洞的发展趋势
传统解决信息安全的方法
软件安全在信息安全中的重要地位
信息安全的期望
理论上: 我们花很多钱在信息安全建设上,安全问题应该被少,安全事件发生机率应该被降低。
保护我们的业务不会被恶义的家伙破坏”
限制责任和义务,满足法规和标准
避免对公司品牌和声誉造成破坏
info-sec spending ($)
incidents &
exploits (#)
信息安全的现状
事实上: 我们每年都花了数百万的资金在信息安全上,但是效果并不如意,我们遭遇的安全问题越来越多.
info-sec spending ($17B)
impact ($40B)
CERT 2007年报告
报道:全球安全漏洞现在每天以40个漏洞速度增长
为什么?
为什么我的努力毫无作用?
我们的安全建设都做了什么?
传统的安全建设投资
然而实际的问题
“75% of hacks occur at the application level”- Gartner, 2005
"92% of reported vulnerabilities are in apps, works" - NIST
75% of hacks occur at the application level