关心安全的技术人员的一些建议

触过安全的开发人员来讲，一个常见的问题是：如何写出安全的代码或做出安全的系统。为了找到答案，我们就必须对安全的定义有所了解。“安全”是一个很宽泛的概念，那这里给出一个很宽泛的定义：被保护的对象不被破坏、篡改、泄漏，系统功能可以正常运行。是不是一头雾水?“安全”定义的关键问题是，什么是需要保护的对象，保护的需求是什么;没有明确的安全的需求，我们就无法谈论安全。比如常见的安全问题有，通信协议是否安全，数据存储是否安全等等;此外还有运行环境是否安全，代码是否安全。所以当我们想要写安全的代码或者实现一个安全的系统之前，我们可以先问问自己，我想要保护的对象是什么。不同的安全的需求，需要做出的安全的防护方式也是不同的。如果不知道你想要的是什么，那么你就不会得到它。

明白了安全的定义，下一个问题是：如何知道实施的安全措施是否足够安全。安全防御和安全攻击是一个动态博弈的过程，就像抗生素和细菌一样，防御和攻击的技术都在进行不断升级。所以我们说没有绝对的安全，安全问题是成本问题。通常我们需要寻找的是如何以最低成本来满足我们安全需求的最佳实践。

二、如何入门“安全”

孙子云“知彼知己，百战不殆”，所以读几本黑客如何攻击和防御的书是一个不错的选择。这些书的内容可能会涉及到一些计算机的基础知识，所以这些知识也是不可少的，否则只能做到知其然而不知其所以然。由黑客攻击和防御的引子，又会引出计算机系统、网络、计算机体系结构、编译原理、虚拟机等等一些基础的知识。

黑客如何攻击和防御是理论基础，有了理论基础我们可以看看这个真实的世界存在哪些比较流行的安全问题;CWE是通用缺陷，里面列举了很多通用的安全缺陷，我们可以先从最流行的25个问题看起，可以帮助我们在编码的时候避免许多安全问题。如果开发的系统是Web系统，那么OWASP是不容错过的一个资料库;OWASP包含Web常见的问题和最佳实践，可以了解一下OWASP最流行的10个问题。比如SQL注入，这种常见的高发的已经有了几十年历史的问题，在这两个榜单中都有提及。

接下来我们可以看看业界比较好的安全实践。SEI CERT Coding Standards是一个安全编码标准，分门别类得列出了C、Java等语言常见的安全问题，并且对安全问题做出解释，给我们提供了不安全的代码样例和安全的代码样例。这个规范是一个很好的切入点，帮助我们快速了解安全问题，实践安全编码。

（编辑：伊春站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!