安全开发标准ISO27034(二)
对软件使用客户来说,在考虑开发者是否提供足够安全性的同时,可能也会提出类似如下的问题:你们的代码扫描工具实时更新么?你们有没有足够的人负责安全?你们的安全措施和别人一样么?提出这些问题看似能让自己安心,但是有时候并不能真正切中要害,同时很重要的一点,是对安全性的部分确认,等于鼓励对方只进行部分实施。
从安全战略角度,以上担心更好的解决方案是从系统性方面提出问题:在安全性方面,你们是否有公司层面的策略和管理支持?你们对风险的评估和改善是否考虑全面?在软件生命周期中安全性的实施如何保证?随着问题越来越多,可以把所有疑问替换为一个问题获得终极答案:你们企业是否试试ISO 27034了?
对采购者来说,ISO27034可以保证软件供应商在软件开发过程中采用了足够的安全管理流程。对开发者来说,可以用这个标准简单地说明自己的安全性优势,给采购者足够信心。
ISO27034(也是IEC27034)由六部分内容组成。其中第一部分应用安全性综述和概念已经正式发布,就是ISO27034-1。其余五个部分分别是第二部分组织规范框架,第三部分应用安全管理流程,第四部分应用安全验证,第五部分协议和应用安全控制数据结构,最后一部分是特定应用的安全指导。未发布的五部分中,2、5、6已经有工作草案。
- 上一篇:安全开发标准ISO27034(一)
- 下一篇:移动应用开发怎样解决新的威胁?