提問：在努力倡導軟件實施開發安全最佳做法的過程中，我遇到了一個障礙：我的高級開發經理表示，我們已經部署了Web應用防火墻（WAF），它完全能夠發現所有開發人員遺漏的Web應用安全漏洞。你能為我提供一些很好的反駁意見，來向他說明我們不能簡單地依靠WAF來防止糟糕的編碼嗎？

你的經理可能是看了PCI數據安全標準（PCI DSS）6.6要求，該要求為企業提供了兩種選擇來保護Web應用程序抵御已知攻擊，第一種是檢查所有在企業內部開發的web應用代碼，第二種是在web應用和客戶端之間安裝Web應用防火墻。你應該告訴他，該法規的補充信息中提到，“恰當地部署這兩種方法能夠提供最佳的多層防御”。在現代威脅環境中，我們完全有必要同時部署WAF以及分配資源和時間來改善軟件開發安全。

雖然WAF提供了一條重要的防線來防御已知攻擊和一些未知攻擊，但沒有哪個單一的技術能夠“包治百病”。例如，WAF不能幫助企業避免應用邏輯錯誤，然而，對于運行很多動態代碼的復雜Web 2.0應用，或者底層網絡和操作系統級漏洞，這是很容易出現的錯誤。但它還有后續成本。WAF具有廣泛的日志記錄功能，管理員需要登錄分析儀來利用這些日志信息。

這正是安全編碼和編碼審查發揮價值的地方。通過在代碼水平解決問題，不僅降低了任何與安全有關的設計和編碼缺陷的數量和嚴重程度，而且顯著提高了整體應用安全性。雖然未來的代碼修訂版仍然需要審查，但采用安全開發做法開發的應用不需要與那些完全依賴于防火墻保護的應用一樣持續維護。

在這種情況下，也許最好的反駁是：微軟在推出其安全開發生命周期（SDL）后，顯著提高了其產品安全性。SDL為整個軟件行業制定了標準，很多其他公司（包括思科和Adobe）都采用SDL或者基于SDL建立起安全開發的做法。我們可以從很多方面感受到微軟取得的成功，比如在推出產品一年后產品中發現的漏洞數量的變化。在Windows Vista（Vista是第一個使用SDL開發的微軟操作系統）推出一年后，與未采用SDL的Windows XP的漏洞要少了45%；SQL Server 2005比未采用SDL的SQL Server 2000的漏洞要少91%。

在部署更好的內部軟件開發安全最佳做法后，企業不需要完全依賴WAF來成功阻止針對其應用的攻擊。從安全的角度進行編碼讓應用更加強大，這降低了攻擊面，并提高了抵御攻擊的能力。WAF永遠無法防止每一個漏洞被攻擊者利用，而對于攻擊者而言，編碼漏洞更少的應用不再那么有吸引力。

如果你的經理仍然不相信，那么，能夠很好地說明需要安全應用開發的方法就是：攻擊你們自己的應用。最安全的演示方法是在虛擬實驗室運行應用，使用Metasploit等工具來攻擊它。當發現一個漏洞時，概念證明可用于顯示攻擊者可以如何建立一個反向shell或者其他后門來進入應用和運行應用的系統。這將清楚地展示你的應用中的漏洞將如何被利用，而防火墻根本無法阻止這一切。