GSS 資安電子報0018期【企業資安指南：建立及管理軟體安全開發生命週期 】

企業的軟體工程正確執行時，開發初期即考量程式碼安全，參與的部門必須遵照安全標準。因此，若要發行產品，除了產品符合品質要求之外，也必須符合公司的安全標準。至於軟體開發人員的績效，則依是否遵照安全標準量尺而評比；而企業資安長則因為監管軟體發展的安全標準倍受尊重。
聽起來像作夢，對嗎？
很不幸地，公司有這種安全防護意識很少見。極少數企業會將軟體「安全」開發生命週期防護措施視為必要。

在企業軟體開發方面，往往資安才是最後關注的議題。而產品發行日逐漸逼近，會促使軟體即使未達安全標準卻趕著上市，這是業界常見的問題。因此企業資安長會面臨這樣的問題：必須負起安全防護的責任，卻無任何實權為產品是否發行來把關。
執行「軟體安全開發生命週期」提供企業資安長系統化的方式循序漸進地排除軟體的風險。品質保證(Quality Assurance)步驟能確保軟體運作正常，有效的安全開發生命週期則可帶來安全防護的專門知識，並可防止、去除各種漏洞。

• 安全核對清單
• 負責安全標準的同仁需有實權以強化標準。清楚界定可加強的流程及標準，再得到管理部門的支持，為流程把關。
• 軟體安全開發生命週期中，產品經理需考量產品的「安全性」及「個人隱私處理」。
• 將組織中的安全標準，以文書方式明文規定，如此一來，需求內容較無爭議。但您必須確保這些安全標準同時具備「預防性」及「前瞻性」，安全防護措施是在流程一開始即採用，而非亡羊補牢。
• 安全防護議題尚未定案前，需要持續追縱、衡量、回報。
• 加強教育訓練。教育訓練為軟體安全開發生命週期所有階段必需強調的安全議題。您必須訓練軟體開發經理您的標準是什麼，以及訓練開發人員如何修正安全防護問題。絕不容許任何人有拒絕了解安全防護規定的空間。
• 列出執行安全標準人員的清單。在軟體開發工程師及開發經理的職務說明書中，加入「安全防護標準」這個工作要項。不管是人員雇用，或是評估人員表現皆需援用此項標準。
• 請資訊長開放讓您於會議中定期討論安全防護的標準。安全防護必需成為組織中DNA的一部分。這種習慣須由上至下持續反覆執行，且務必以實際行動證實，而非紙上談兵。
• 企業資安長必須與軟體開發人員建立相互信賴且有效率的關係。軟體開發人員也要了解，企業資安長不僅是安全防護措施的來源，亦為軟體「安全性」及「個人隱私」的把關者。傾聽開發人員所遇的流程問題，再針對不滿意的部分進行微調。當您實行安全標準時，別忘對其他人員及組織表現支持及合作的態度。讓大家認為您是能輕易解決問題，同時讓執行變得容易的人。
• 若您到頭來還是僅有責任而無實權，那就離開吧。

Fortify專注於軟體開發安全保證，並符合相關軟體安全標準。Fortify 360解決方案可協助您在單一平台控管多個應用程式與專案，並以風險等級排序顯示弱點結果。即使組織的流程設計及執行經驗有限，Fortify360亦可用最傑出的軟體安全開發生命週期最佳範例供組織先行練習。Fortify的專業技術團隊，參與多個全球主要「軟體安全開發生命週期」開發專案。

Fortify的軟體開發安全保證（Software Security Assurance）保護公司及組織免於現今最大安全危機：企業的IT系統。Fortify減少重大金融及商譽的損失，亦即時地確保政府或企業滿足相關法案。Fortify 的顧客包括政府機構、全球前2000大金融服務業、醫療機構、網路電子商業、電信業、出版業、保險業系統整合及資訊科技業。若欲了解更多資訊，請上www.fortify.com網站查詢。