IBM安全研究高級架構師Ryan Berg表示，金融服務業在推動安全編碼實現上遠遠領先于其他產業，而其它的公司，包括一些規模較小的獨立軟件供應商，并沒有為此做出努力。Berg表示，一個公司的首席執行官可以改變這種狀況。Berg強調，如果首席執行官承諾大幅改善軟件開發，并且有一定的預算支持，這將給整個軟件開發過程帶來更多積極有利的變化。在此次采訪中，Berg列出了一些可能導致安全威脅的領域，并解釋了公司如何才能逐步提升自己的軟件開發過程，以及從哪些發展模式中可獲得指導。

我們了解到大多數公司都把重點放在安全軟件開發上。為什么要優先考慮軟件的安全性呢？

Ryan Berg：大約12年前，我在一家名為BBN的公司工作， 那時BBN是第一家管理防火墻服務器的公司，被人們所熟知。在12年前，對一個公司來說最大的威脅之一是來自網絡的訪問，這是每個人都在關心的問題。于是防火墻孕育而生，你只需要一個高層次的管理員來配置防火墻。然而，我們的網絡運營中心最大的需求之一是：“你能為我打開這個端口嗎？”隨著越來越多的應用程序移植到網絡上，為了保證人們正常工作，試圖打開防火墻的需求越來越多。當時的應用程序和網絡應用程序都相當糟糕。那時的威脅來自于網頁置換，隨后網絡開始演變。大約在5年前，我們看到越來越多的動態信息被放到了網絡上，同時網絡也增加了一些更為實際的業務功能。雖然防火墻還規定了一個安全基準，但是用戶可以通過允許開啟80端口，免費、快速地訪問網絡。曾經人們所理解的內網和外網概念已經被徹底打破。大多數公司一旦在互聯網上開展業務，都會開放80端口允許訪問他們的網絡，這樣他們基本上也為來自外界的訪問打開了方便之門。

很多應用程序已經放在網絡了，攻擊者似乎不再通過操作系統漏洞，而是通過瀏覽器的漏洞以及一些其他面向網絡應用程序的漏洞來發動攻擊，是這樣的嗎？

Berg：由于操作系統廠商在操作系統安全防范上做的很好，人們逐漸意識到攻擊者想得到的只是數據。這是一個數據經濟時代。商務分析人士希望獲得這些數據來推動自己的業務發展，黑客也想得到這些數據來推動自己的業務發展。獲得數據的方式將不再是通過網絡和入侵操作系統。黑客正嘗試讓應用程序本身去訪問這些數據，然后直接摧毀這些應用程序。黑客試圖用一種邪惡的方式來合法的獲取數據。這就是為什么類似于SQL注入和跨站點腳本攻擊（XSS）這樣的攻擊成為主流的原因。這些都只是攻擊者用來破壞應用程序正常功能的方式。軟件缺陷、不良設計或編碼質量低下都是客觀存在的。

如果一家公司要把軟件安全列為優先項目，那么它該從哪入手？公司里誰應該起帶頭作用？

Berg：我認為應該從首席執行官開始。你必須改變你對軟件制造的思維方式。公司改變其軟件制造方式的唯一途徑就是通過首席執行官的領導。我接觸過很多公司，并不是開發人員不想做正確的事情。他們也并不希望編寫出糟糕的代碼。但開發人員沒有被告知，這是我們業務的一個基本職能。軟件交付使用時一定要具備安全性。為了使這成為一個標準以及讓開發人員能夠堅持自己的開發理念，必須從公司最高管理層開始貫徹落實。我從來沒有告訴過任何公司不要關心他們的軟件質量。如果你關心軟件質量，那么你必須關注它的安全性，因為不可能存在缺乏安全性的高質量軟件。公司花費了太多的精力在質量上。有專門的質量檢測工程師負責產品的測試。但是，還需要專門的工程師來測試軟件的安全性。質量檢測工程師不能進行這個測試，因為這是另外一門技術。所以需要有一個企業承諾需求和一個企業提供這樣的職能。

一旦做出這種承諾，將會產生許多種不同的模式，我們可以以此作為指南。比如成熟度模型（BSIMM）中的建筑安全就很管用。微軟也將它的SDL廣泛應用。您對這些不同的模式怎么看？這會是一個很好的起步平臺嗎？

Berg：我喜歡BSIMM的唯一原因是其實它并不是一個模式。BSIMM概述了一些公司正在做的事情。我們可以從中得到頂尖公司共同在做事情的相關數據統計。BSIMM不會告訴你該做什么或不應該做什么，它只是告訴你這些頂尖的軟件公司在做什么。微軟的SDL就是圍繞微軟做的工作而設計的。微軟有自己開發的一些應用程序。最初的SDL主要集中在他們的操作系統中：如封裝和套裝軟件。如果你不打算開發這種軟件，也許這種模式并不一定合適。但是，這并不意味著你不能使用這種模式或者這種模式中的一些模塊。要完成一個大項目，你就應該要有一個模式。如果沒有，你就是做無用功。

根據目前您了解到的信息，大部分公司的大體模式是正確的嗎？這些公司有沒有意識到這個問題，并著手建立更好的軟件開發流程呢？

Berg：這取決于市場的需求。有些縱向市場，像金融市場，處處充滿風險。在安全應用開發問題上，他們始終走在前列。他們有風險管理人、安全工程師，還有一個安全項目。大多數金融組織都設有這些職位。但在美國之外的其他國家就不同了。美國的金融公司走在其他國家的金融組織之前。有一部分原因就在于美國的規章制度。毋庸置疑，PCI對金融市場起到決定性和強制性的作用。金融服務業之后就是零售業。PCI和金融服務業一同向零售業施壓。如果你接觸獨立軟件制造商，他們只會敷衍了事。大規模的獨立軟件制造商很有優勢，一旦你躋身財富1000強，利益就多了。除非有重大事情發生，大多數的時候他們并沒有真正在做什么。

其中一些改變是根據用戶的要求進行的嗎？是否需要監管來改善小規模的獨立軟件制造商的軟件安全性？

Berg：我不希望看到有更多的規則條例出現。大家都知道條規并不總能保證事情朝正確的方向發展，人們只會循規蹈矩，用最少的工作來達到其中的要求。我更希望看到的是，有更多的軟件用戶與軟件制造商互動起來。現在這種情況越來越多了。具有購買能力的大客戶在他們定購的軟件的安全問題上有更多的發言權。如果你擁有財富500強或者財富1000強那樣的購買力，那么你就可以提出具體的要求，對軟件的開發方式也有一定的決定權。

【編輯推薦】

1. 應用程序開發：使用第三方代碼是否安全？
2. 企業難題之落實應用程序開發安全性