知识中心智慧社区开发—软件开发人员必须知道的5项安全原则

很多培养软件开发人员的机构并不培训如何安全的软件开发，而是强调软件开发的效率和软件功能的实现。解决软件安全问题的最佳策略就在于程序分析、软件开发、测试阶段对安全性的考虑。因而，如何让代码更安全成为一个关键问题。下面所说的是软件开发程序设计人员容易忽视的五个安全软件开发原则。

一、减少攻击面

大而全的程序往往隐藏着巨大的风险。在应用程序中每增加一个功能都会对整个应用程序增加一定数量的风险。安全软件开发的目标是什么？是通过减少攻击面来减少整体的风险。假设某个Web应用程序通过搜索功能来实现在线求助，这个搜索功能就有可能遭受SQL注入攻击。如果这个帮助功能仅限于授权用户，那么该程序遭受攻击的可能性就会大大地降低。如果对这个帮助功能进行重新软件开发，清除其搜索功能，就几乎会消除了攻击面。

二、不要轻信第三方

许多软件公司使用第三方的处理功能，后者更有可能采用不同的安全策略。而软件公司又不太可能影响任何外部的第三方，不管它是家庭用户或是重要供应商或合伙人。盲目信任软件公司外部运行的系统是没有什么道理的。应当以相同的方式来对待所有外部的系统。如一家忠诚的软件供应商要向贵公司提供网上银行所使用的数据，提供了奖励积分的数量等数据。贵公司的应用软件应当检查这些数据，确保在显示给终端用户时该数据的安全性，而且奖励的积分应当是一个正数，这些都是软件公司软件开发人员需要重视的问题。

三、不要通过隐藏来实现安全

通过隐藏来实现安全是一种很弱的安全控制。将隐藏作为唯一的控制方式，迟早都会失效。这并不是说保守秘密不是一个好办法，只是意味着关键系统的安全性不能仅依赖于隐藏细节。如应用程序的安全性不能依靠保证源代码的秘密，使其不为人知。安全性依赖于许多因素，包括合理的口令策略、深度防御、商业交易限制、强健的网络架构、欺诈和审计控制等。比如Linux，其源代码是完全公开的，然而只要在部署阶段采取了正确的安全措施，Linux就是强健、安全的操作系统。

四、正确纠正安全问题

如果确认了一个安全问题，非常重要的一点就是理解引起此问题的根本原因，并制定一个测试计划。在使用固有的设计模式时，非常可能的是，安全问题在所有的代码库中都广泛存在，所以在不引起新问题的前提下，如何软件开发和测试适当的修复代码至关重要。

五、“死得光荣”—安全地发生故障

意思是多种原因引起应用程序无法正常地处理业务时，应用程序发生故障的方式会影响或决定应用程序是否安全。

所以软件开发人员必须重视在应用程序发生故障时的安全影响。

选购指南：

本公司包括青岛软件公司、莱芜软件公司、德州软件公司、淄博软件公司、枣庄软件公司等分公司，其中莱芜软件公司主要为莱芜地区供应各品种型的开发，具体包含如：莱芜软件开发，莱芜APP开发，莱芜手机客户端开发；青岛软件公司主要为青岛地区供应各品种型的开发，具体包含如：青岛软件开发，青岛APP开发，青岛手机客户端开发德州软件公司主要为德州地区供应各品种型的开发，具体包含如：德州软件开发，德州APP开发，德州手机客户端开发；淄博软件公司主要为淄博地区供应各品种型的开发，具体包含如：淄博软件开发，淄博APP开发，淄博手机客户端开发；枣庄软件公司主要为枣庄地区供应各品种型的开发，具体包含如：枣庄软件开发，枣庄APP开发，枣庄手机客户端开发可以满足各种大中小型各类企业的管理需要。如需了解本公司的 详细业务情形，敬请请拜访本公司官方网站：www.simpro.cn，或拨打全国统一咨询热线400-677-0389进行详细咨询。

公司名 称：山东森普信息技术有限公司

公司网 址：http://www.simpro.cn

业务ＱＱ：176099777

微信公共平台：simprosoft

联系电话：400-677-0389

联系人：王经理