OWASP（Open Web Application Security Project）主席Jeff Williams在2008年的美國年會上，開宗明義說道：「很多單位把大部分的資安預算花在『駭（Hacking）』，也就是做滲透測試跟掃描。這沒什麼錯，這些工作是重要的，但是我們沒辦法把自己『駭』得更安全。」
在開發階段就落實正確而安全的程式寫法，是最徹底的解決辦法。若再搭配滲透試，可進一步驗證成效


套裝工具能幫你省掉的工作
此次採購特輯來說，介紹4家靜態程式碼安全性檢測工具，規納出以下共通的主要特性包括：

● 與IDE整合：為了要方便開發者檢查並修正不安全的寫法，各家產品均可與IDE開發環境整合，讓他們在Visual Studio或Eclipse下，能隨時可以按下掃描鍵啟動檢查機制。

● 嚴重等級分類：各種弱點產生的威脅嚴重程式不同，所以工具一般是參考OWASP將弱點分類並標示嚴重等級，例如XSS及SQL Injection是歸類為高風險的弱點。分級的好處在於，幫助企業將資源投入在真正重要的地方，而資訊類的弱點，未必會造成威脅，就可以排出處理的優先順序。

● 直指問題程式碼的位置：如果無法找出問題程式碼，此類工具的作用就和滲透測試差不了多少，指出問題關鍵是靜態程式碼安全性檢測工具的價值。

● 提供修復建議：這也是靜態程式碼安全性檢測工具的最重要特色，由於多數開發者對於「安全」的程式開發沒有概念，系統提供完整的修復建議與程式範例，絕對有助加速弱點修復的效率。

看更多雜誌 »