소프트웨어 개발자가 작성한 코드의 보안 측정

Question

Ounce Labs, Fortify Software 또는 Veracode과 같은 도구에 액세스 할 수있는 개발자 인 경우 작성한 코드의 메트릭에 공개적으로 사용 가능합니까? 당신이 반대한다면, 이와 관련하여 당신이 투명성을 더 편안하게 느끼기 위해서는 무엇이 필요할까요?

통계가 공개 된 경우 개발자가 secure coding 기술을 배우는 데 더 많은 시간을 투자하도록 유도하는 긍정적 인 부작용이 있다고 생각합니까? 개발자가 자신의 시간을 투자하여 secure coding에 대해 경쟁적인 관심사를 알도록 유도하는 더 나은 접근법이 있습니까?

Answer 1

모든 평소와 같은 이유로 모든 측정 항목을 높은 수준의 의심으로 간주합니다. 보안 메트릭은 FUD로 사용됩니다. 또한 적합성을 알아야합니다. 예를 들어, 신뢰할 수없는 코드와 관련된 결함은 신뢰할 수없는 코드와 관련이 없습니다.

IMO에는 두 가지 중요한 질문이 있습니다. 취약점이 있습니까? 그게 얼마나 명백한가요?

Answer 2

나는 도구에 대한 액세스가 반드시 문제라고 생각하지 않습니다 :

은 (당신이 링크가 명확하지 않고 일부 로컬 그룹에 연결하는 이유는 무엇입니까? 또 다른 질문이 될 것이다). 귀하의 프로필의 외형에서 우리는 비슷한 위치에 있습니다. 나는 상당히 큰 클라이언트 - 서버 솔루션을 설계 할 책임이있다. 우리 코드베이스의 보안 문제는 보안 관행이 단순히 "레이더"에 있지 않은 결과입니다. 기능 세트 및 기타 고객이 직면 한 버그 수정을 위해 부딪 히고 있습니다.

우리는 현재 시장 요구 때문에 코드베이스를 보호하고 엔터프라이즈 수준에서 보안 역할을 관리하며 모든 좋은 것들을 관리하는 방법을 모색하고 있습니다. 코드베이스에서 위험 수준을 측정하는 방법은 매우 중요하다고 생각합니다. 이것이 도구가 작동하는 곳입니다. 보고서를 제공하고 개선을 보여주는 데 사용할 수 있습니다. 측정 도구의 발전과 같은 분석 도구로 발견 된 보안 위험의 수를 감소시키는 개발자는 매우 유용합니다.

나는 그들이 제공하는 도구와보고가 도움이 될 수 있으며 실제로 매우 중요한 역할을한다고 생각합니다. 그러나 누군가 (경영진, 시장 등) 이 보안 구멍을 막는 데 일부 값을 배치하고 평가 된 위험을 줄이기 위해 도구를 반복적으로 사용하도록 요구할 때까지 개발자는 보안과 관련하여 지나치게 관심을 갖지 않을 것입니다 프로그램 작성. 정말로 재미있는 다른 멋진 윙 - 뱅 (whiz-bang) 재료를 모두 보았을 때 정말 재미 있지 않습니다. 몇 주 전 check out this related thread 또는 작년 10 월부터 even this one으로 변경하는 것이 좋습니다.

보안 문제는 오늘날 매우 적은 양의 소프트웨어에만 영향을 미칩니다. 그렇다면 The Field으로보고 된 수많은 결함은 보안에 더 많은주의를 기울이면 발생하지 않았을 것입니다. 즉, 다른 문제를 일으키기 때문에보고되는 경우에도 보안 결함입니다. 보안 결함을 수정할 때 실제로 가장 큰 수익을 얻을 수 있다고 생각합니다. 보안 평가 및 수리를 전후로 버그보고의 비율을 검사하는 연구를 한 사람이 있는지 궁금합니다. 내 직감은보고 된 결함의 비율이 감소해야한다고 즉, "보다 안전한 소프트웨어"== "더 높은 품질의 소프트웨어"라고합니다. 그 정도면 충분합니다.