软件安全开发能力评估技术规范实施
近日,中国信息通信研究院主导编写的《软件安全开发能力评估技术规范》(标准编号 T/ISC 0042-2024)正式落地实施,标志着我国软件安全开发领域迈入了标准化、规范化的新纪元。这一标准不仅为软件行业的安全发展提供了详实的指导框架,也是推动我国数字经济高质量发展的关键举措。
一、标准引领软件安全开发新航标
该标准细致涵盖了软件安全开发的全生命周期,包括需求分析、设计、编码、测试、部署/发布、运维等各个关键环节,明确了一套科学严谨的安全实现要求。它不仅为组织机构自我评估安全开发能力、持续优化安全开发流程提供了权威依据,也为第三方评估认证机构开展软件安全开发体系能力评估认证工作设定了统一标尺。
在信息化浪潮汹涌的今天,软件安全开发已成为保障企业信息系统稳定运行、保护用户隐私、符合法律法规要求及有效抵御网络威胁的基石。《国家网络空间安全战略》提出重视软件安全,加快安全可信产品推广应用。《关键信息基础设施安全保护条例》提出运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
二、直面挑战破解软件安全开发痛点
当前,软件安全开发仍存在诸多痛点。一方面,部分企业在软件开发过程中往往忽视安全因素,导致软件存在安全隐患;另一方面,软件安全开发技术不断更新换代,对企业的技术能力提出了更高要求。这些痛点不仅影响了软件安全水平,也制约了整个行业的发展。
1、软件安全开发全过程流程复杂,开发管理制度建设难、落地难。
据统计,60%的建设单位具有安全开发管理制度,但是存在制度精细化差、可执行性偏低、执行难到位等情况难以控制整个过程。
2、第三方组件的安全问题普遍严重。
第三方组件在软件开发中扮演着重要角色,项目建设使用几十个第三方组件是很常见的事情,而研究表明,37%的系统使用了至少含有一个已知安全漏洞的第三方组件,第三方组件已成为系统安全中安全问题的重要导入点。
3、市场缺少安全开发专业人才。
具体的开发安全工作对人员的安全能力有很强的依赖性,无法有效落地;据统计表明,70%的建设单位在项目建设前未对技术人员实施安全培训,或已进行了安全开发培训,但实际开发未按培训要求执行。
4、企业缺少自动化工具与可视化平台支撑
大量重视安全开发的单位投入资金、人力构建安全控制工具、团队,但在流程改进、能力提升、工具维护等方面缺乏持续性,50%的建设单位存在无维护测试工具现象,面对迭代开发持续交付,提高效率是亟待解决的问题。
5、企业缺少对开发安全实践评价及审计能力
导致相应安全活动无法确定实施效果及进行有效改进,最终演变成走形式。
6、信息系统存在重要业务安全漏洞。
严重的代码安全问题能威胁到业务的安全性,据统计,60%的信息系统存在重要业务安全漏洞,而这些漏洞存在信息泄露、数据篡改等严重风险。
7、信息系统与安全标准规范存在较大差距。
很多系统安全问题在监管部门检查中被发现,70%的信息系统上线后发现与等保、个人隐私保护等安全标准规范存在较大差距。
三、强化管控构建全方位安全屏障
面对软件安全开发的复杂形势,加强安全管控显得尤为重要。亚讯数据安全专家建议,从“软件安全开发全过程”的维度形成全面安全开发总体框架,依据《软件安全开发能力评估技术规范》,严格执行安全监管法律法规、安全开发法律法规、安全开发规范、人员培训考核,并贯穿管控调研阶段、需求阶段、设计阶段、编码阶段、部署阶段、发布阶段等整个安全开发全过程,提升安全风险的处置能力,最大限度保障系统的安全性,杜绝系统安全事件发生。
- 调研阶段
系统调研阶段,收集信息系统建设信息,对供应商进行安全开发能力评估。
- 需求阶段
对关键节点需求等进行安全评审,形成安全需求评审表;并对存在的安全隐私风险进行评估,分析其影响。
- 设计阶段
设计阶段:对关键节点设计等进行安全评审,形成安全设计评审表;减小攻击面,进行威胁建模分析,为信息系统面临的威胁建立模型,明确可能来自的攻击有哪些方面。
- 编码阶段
检测配置库、开发环境,并对开发的代码进行代码审查、代码走查分析,代码静态分析可以由相关工具辅助完成,其结果与人工分析相结合。
- 部署阶段
评估开发质量,对应用系统进行安全测试、渗透测试等,对数据进行数据安全测试、个人信息保护方面的检测,对配置库、运行环境进行安全检查。
- 发布阶段
发布阶段:系统上线后,需要进行等保测评、密码测评、风险评估等方面的合规性验证,定期或不定期进行渗透测试。
《软件安全开发能力评估技术规范》的适时推出,不仅是对当前行业需求的积极响应,更是对未来数字化趋势的前瞻布局。它不仅为我国软件安全开发树立了新的里程碑,更为构建安全、可信、可持续的数字生态奠定了坚实基础。在此标准的指导下,我国软件行业将步入一个更加规范、更加安全、更具价值的发展阶段。