筆者之前看過一篇文章寫得很好，里面提及了會寫程序的有很多人，但是會寫安全程序卻沒有幾個。

而如果在開發初期就將安全問題納入規劃，成本是最低的!

在開發階段就落實正確而安全的程序寫法，是最徹底解決的辦法!

當上線之后，才發現程序本身就不安全，那么可能為時已晚。

在你還沒找到補破洞的方法之前，資料也許已經泄漏出去了!

面對新版的”個人資料保護法”勢在必行，企業不得不正視Web應用程序的安全問題。然而，企業面臨的難題在于，企業內部的安全人員大多是IT基礎架構的成員，過去聽到的”安全”話題，多是網管或系統管理組的負責領域。

關于應用程序面的安全，企業的了解相對而言很有限，而開發人員本身更不用說。我們一般會問”你會不會寫程序”，少見詢問”你會不會寫‘安全的’程序”。

程序設計師在技能養成的過程中，就不曾接觸過相關話題，據了解，直至今日的大專院校仍少見”安全的程序開發”相關課程。

再加上專案時程緊湊，能夠準時、無誤又符合需求地交付上線，就是很不容易的事情，因此”安全”更是無暇顧及的事情?，F在資訊主管要求開發者寫”安全的程序代碼”，幾乎是緣木求魚。

弱點在開發早期解決，成本最低

該怎么處理這樣的問題?許多對安全敏感性較高的產業，早已選擇滲透測試，請安全專家以黑客的手法檢驗網站的安全性。然而滲透測試費用不低，無法頻繁地執行，一般而言，是一年1至2次，所以無法時時把關安全性。

因此，市面上也出現了”靜態程序代碼安全性檢測”及”動態程序代碼安全性檢測”工具，希望幫助企業在安全意識不足的情況下，透過工具的自動化掃描，抓出安全性漏洞，并提供弱點解說與修正建議，進而學會處理的方式。

動態程序代碼檢測工具及滲透測試都是在模擬黑客的手法，嘗試找到網站的弱點，并提供相關報告。這種作法比靜態程序代碼安全性檢測全面，因為可以抓出操作系統、應用服務器的漏洞，及設定面問題。

不過，靜態程序代碼安全性掃描工具的強項在于，能地毯式地掃描程序代碼、抓出不安全的寫法，并提供修正建議，是從根源就做好防護的安全性作法。

畢竟軟件上線后才發現問題，再去解決的成本是開發階段的100倍。

OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美國年會上，開宗明義說道：”很多單位把大部分的安全預算花在‘黑(Hacking)’，也就是做滲透測試跟掃描。這沒什么錯，這些工作是重要的，但是我們沒辦法把自己‘黑’得更安全。”

在開發階段就落實正確而安全的程序寫法，是最徹底的解決辦法。若再搭配滲透試，可進一步驗證成效。

【編輯推薦】

1. 2010網絡及數據安全十大預測
2. 網絡安全與保護：在差異中尋求共識
3. 網絡安全設計中的10大常見錯誤