快手、孩子王、华为等专家分享大模型在电商运营、母婴消费、翻译等行业场景的实际应用 了解详情
写点什么

坚固软件宣言

  • 2010-07-01
  • 本文字数:1803 字

    阅读完需:约 6 分钟

在很多软件项目中,安全,常常要么被人忽视,要么事后才被人想起。多数软件团队更希望多完成一些现有的功能,而不是花时间避免可能出现的安全漏洞。为了帮助开发人员认识到“坚固的”软件的重要性, Joshua Corman David Rice Jeff Williams 建立了“坚固软件宣言”。

Bill Brener 提出:“坚固”并不是意味着无法攻破,而是说要比我们以前的产出要好许多。这在软件开发人员构建起了新的文化,基于强健和承诺改进的新文化。Bill 补充道:即使已经有了一些强制性的软件安全开发方法,比如 BSIMM(the Building Security In Maturity Model) SDL(Security Development Lifecycle),坚固还是要更好一些。

坚固等于更进一步,其想法是要在把代码变得更安全之前,开发人员自己要先“强壮”起来。漏洞是人犯错误的结果,如果你改变人的态度,好结果会随之而来。不管怎么说,这就是希望。

Jeremiah Grossman 提到:在如今软件开发的场景中,开发人员没有动力让代码变得更安全。利益干系人更愿意在功能上花费更多,而不是安全性;如果出现了安全漏洞,开发人员也很少被惩罚。Jeremiah 建议:尽管他不提倡使用惩罚,但是应该有些东西让开发人员能为自己的优秀工作感到骄傲,如果不好的话,要为之尴尬不安,就像“坚固软件宣言”中提倡的同事压力那样。

Kelly Jackson Higgins 引用了 CTO 的话,以证明对于“坚固”的喜爱:

Veracode 的 CTO Chris Wysopal 认为:开发人员必须是安全问题解决方案的一部分。 “然而,多数开发人员不知道如何编写安全的代码,更糟糕的是,如果他们写出了高质量的代码,他们就自以为已经写出了安全的代码。软件安全的实践者们已经在努力跨越这种心态。坚固的代码是一种突破,并注入这样一种心态:安全的代码同样应该成为引以为傲的源泉,就像优雅的、表现出色的高质量代码一样。”

坚固代码宣言这样说:

  • 我很坚固,更重要的是,我的代码很坚固。
  • 我知道软件已经成为当今世界的重要基石。
  • 我知道这种基石角色随之而来的就是重大的责任。
  • 我知道我的代码会以我没有预期到的方式使用,会以与其当初设计目标不同的方式使用,使用期限也会超出最初预期。
  • 我知道我的代码会被充满才华而有毅力的敌对者攻击,他们会威胁我们的物质世界、经济运行和国家安全。
  • 我知道这些事实,因此我选择变得坚固。
  • 我很坚固,因为我拒绝成为漏洞和弱点的来源。
  • 我很坚固,因为我的代码能够面对这些挑战,并不受它们的影响而继续运行。
  • 我很坚固,不是因为这样做简单,而是因为这是必然之选,而且我已准备好面临挑战。

尽管很多人支持这些努力,但也有人对这个想法不以为然。

Pete McBreen 认为:“坚固软件宣言”必将遭受被人讽刺、模仿的结果。其中有几句还说得不错,但总体而言太过矫饰了。

Jim Bird 同样指出:“坚固软件宣言”试图复制敏捷宣言的成功。后者之所以成功,是因为像 Kent Beck 和 Ward Cunningham 这些在实际开发软件的人在推动它。“坚固软件宣言”要想成功,就需要得到软件开发社区的支持,仅有应用安全社区的支持是不够的。Jim 进一步提到:围绕这个运动缺少相关活动。他认为:

我注册了“坚固软件”论坛、博客、列表等等。呃,可是相关内容只有一个声明和一些新闻稿。关于坚固的宣言、空白的博客和空空如也的论坛,这就是我目前所能找到的一切。因此,我想我的步子迈得有点太快了。接下来我会等待,看是否有真正的机会,给予软件开发社区动力,并为它们说话,这就能有真正的成功机会。

Corman 回应了与敏捷宣言共存的疑惑,他说

这是个争论热点。敏捷所谓抓紧时间、赶紧交付、迭代式的态度真得会导致更严重的安全问题。这个讨论需要提上议事日程,我们也已经开始了。

Andrew Fried 宣言中的 10 条压缩为 3 条主要想法,在他看来是这样的:

  • 软件应该做到它声称做到的事情。
  • 来自中国和俄罗斯的恶意软件包每一天的每一分钟都在袭击互联网,软件不能让我的系统为它们打开方便之门。
  • 软件应该保护自己不受用户损害。

因此,尽管有很多钱花在开发软件功能上,让软件变得更坚固的努力仍然需要得到更多推动。不管“坚固软件需要”是否能让开发人员走上正确方向,看起来是个新起点。正如 Joshua Corman 所说

开发人员在写代码时,假定唯一的工作就是完成某个功能。但这会导致软件存在不为人知的漏洞,造成经济损失、数据丢失、降低生产力。大量程序员不知道自己的代码正在遭受充满才华、坚持不懈的敌人的攻击,我们必须让他们认识到这一点。

查看英文原文: The Rugged Software Manifesto

2010-07-01 23:111620
用户头像

发布了 479 篇内容, 共 157.1 次阅读, 收获喜欢 49 次。

关注

评论

发布
暂无评论
发现更多内容

安全可信| 安全与高效兼得?天翼云EasyCoding敏捷开发平台来了!

天翼云开发者社区

软件测试面试真题 | web自动化关闭浏览器,quit()和close()的区别

测试人

软件测试 面试题 自动化测试 测试开发 web测试

华为时习知,让企业培训更简单!

IT科技苏辞

云渲染时可以关机吗_云渲染电脑可以关闭吗?

Renderbus瑞云渲染农场

云渲染

新茶饮 200+ 门店优化库存成本,需要几个数据分析师?

Kyligence

数据分析 指标中台

重磅 | 九科信息成功入选中国交通建设集团财务云(RPA)项目

九科Ninetech

案例 | 九科信息为某大型科研单位设计财务系统科目预警RPA

九科Ninetech

阿里云对话 Tapdata:以秒级响应速度,为企业提供实时数据服务

tapdata

ETL 实时数据 DaaS 现代数据栈

32篇年度最佳AI论文;Python编译器Codon开源;ChatGPT的前世今生

OneFlow

人工智能 深度学习 大模型

TSDB在油气田勘探开发领域的应用

CnosDB

IoT 时序数据库 开源社区 CnosDB infra

案例 | 九科信息久其报表RPA项目助力某大型央企财务部门提质增效

九科Ninetech

融云任杰:激活组织生命力 让听见炮火的人做决策 | TGO专访

融云 RongCloud

专访 程序员‘

架构实战营第 10 期 - 模块三作业:外包学生管理系统详细架构设计文档

kaizen

「架构实战营」

小数据治理靠“人工”,大数据治理靠“智能”

用友BIP

作为一个研发凭什么花大量时间修安全漏洞?

墨菲安全

安全 开发

外包学生管理系统架构文档

白杨

数字先锋| 药品信息何处有?尽在标识编码处

天翼云开发者社区

数字先锋| 活起来、动起来、用起来!“海南模式”让数据要素发挥更大价值

天翼云开发者社区

直播倒计时1天!“基于AIOps的全面可观测性网络研讨会”与你不见不散

博睿数据

根因分析 直播 智能运维 博睿数据

华为云发布CodeArts Req需求管理工具,让需求管理化繁为简

IT科技苏辞

SpringMVC还是Spring WebFlux?谁是下一代的Java程序员技术栈?

程序员小毕

Java spring 程序员 后端 springmvc

2022年中国第三方输入法发展分析

易观分析

报告 输入法 语音输入

PM&PMO汇报工作的5大技巧,学会了让老板眼前一亮!

PMO实践

PMO 年终报告 年终总结 项目经理

5分钟搞懂Jenkins分布式架构

俞凡

架构 DevOps cicd 最佳实践

【从零开始学爬虫】采集全国高校导师数据

前嗅大数据

数据采集 爬虫教程 爬虫入门

天翼云斩获2022全球分布式云大会两项大奖

天翼云开发者社区

站在2023起跑线,政企数字化如何深入“核心地带”?

脑极体

MySQL分库分表,可能真的要退出历史舞台了!

Java永远的神

MySQL 程序员 后端 架构师 分布分表

软件测试面试真题 | 需求评审中从几个方面发现问题

测试人

软件测试 面试题 自动化测试 测试开发 需求评审

功能上新|使用 Excel 低门槛进行指标分析!

Kyligence

数据分析 指标管理

Syscoin宣布与Web3孵化器WEconomy建立长期合作伙伴关系

100DAO 加速计划

DAO #Syscoin #区块链 #Web3

坚固软件宣言_研发效能_Vikas Hazrati_InfoQ精选文章