나는 도구에 대한 액세스가 반드시 문제라고 생각하지 않습니다 :
은 (당신이 링크가 명확하지 않고 일부 로컬 그룹에 연결하는 이유는 무엇입니까? 또 다른 질문이 될 것이다). 귀하의 프로필의 외형에서 우리는 비슷한 위치에 있습니다. 나는 상당히 큰 클라이언트 - 서버 솔루션을 설계 할 책임이있다. 우리 코드베이스의 보안 문제는 보안 관행이 단순히 "레이더"에 있지 않은 결과입니다. 기능 세트 및 기타 고객이 직면 한 버그 수정을 위해 부딪 히고 있습니다.
우리는 현재 시장 요구 때문에 코드베이스를 보호하고 엔터프라이즈 수준에서 보안 역할을 관리하며 모든 좋은 것들을 관리하는 방법을 모색하고 있습니다. 코드베이스에서 위험 수준을 측정하는 방법은 매우 중요하다고 생각합니다. 이것이 도구가 작동하는 곳입니다. 보고서를 제공하고 개선을 보여주는 데 사용할 수 있습니다. 측정 도구의 발전과 같은 분석 도구로 발견 된 보안 위험의 수를 감소시키는 개발자는 매우 유용합니다.
나는 그들이 제공하는 도구와보고가 도움이 될 수 있으며 실제로 매우 중요한 역할을한다고 생각합니다. 그러나 누군가 (경영진, 시장 등) 이 보안 구멍을 막는 데 일부 값을 배치하고 평가 된 위험을 줄이기 위해 도구를 반복적으로 사용하도록 요구할 때까지 개발자는 보안과 관련하여 지나치게 관심을 갖지 않을 것입니다 프로그램 작성. 정말로 재미있는 다른 멋진 윙 - 뱅 (whiz-bang) 재료를 모두 보았을 때 정말 재미 있지 않습니다. 몇 주 전 check out this related thread 또는 작년 10 월부터 even this one으로 변경하는 것이 좋습니다.
보안 문제는 오늘날 매우 적은 양의 소프트웨어에만 영향을 미칩니다. 그렇다면 The Field으로보고 된 수많은 결함은 보안에 더 많은주의를 기울이면 발생하지 않았을 것입니다. 즉, 다른 문제를 일으키기 때문에보고되는 경우에도 보안 결함입니다. 보안 결함을 수정할 때 실제로 가장 큰 수익을 얻을 수 있다고 생각합니다. 보안 평가 및 수리를 전후로 버그보고의 비율을 검사하는 연구를 한 사람이 있는지 궁금합니다. 내 직감은보고 된 결함의 비율이 감소해야한다고 즉, "보다 안전한 소프트웨어"== "더 높은 품질의 소프트웨어"라고합니다. 그 정도면 충분합니다.
이 도구와 비슷한 광고입니까? –
저는 대기업의 직원이며 이러한 도구를 사용하거나 현재 사용하지 않습니다. 개발자를 측정하는 객관적인 방법에 관심이 있고 더 중요한 것은 보안에 대해 좀 더주의를 기울 이도록하십시오. – McGovernTheory
comm wiki가되어야합니다. –