压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　系統安全、應用安全、敏感信息的保護等話題已經成為軟件企業不能回避的挑戰，如何在開發過程中制度化、流程化地實現安全特性，是所有軟件企業都要著重考慮的問題。國際標準ISO27034是一個系統性解決以上問題的方案，它清晰地定義了實際應用中軟件系統面臨的風險，同時為不同類型的軟件開發組織提供了一套可以靈活應用的方法。

　　安全性的方式，能夠讓安全性成為企業的競爭優勢。另一方面，對購買軟件和服務的客戶來說，這一標準可以作為一個簡單明確的“語言”，促使開發者實施安全開發。

　　軟件安全標準需求迫切

　　根據Forrester在2011年的一項調查，關于開發過程中的安全性問題，有14%的企業完全沒有考慮， 49%的企業部分程度上認識到了這個挑戰，只有37%的軟件企業擁有明確的安全開發戰略。很多軟件企業還沒有在足夠的高度上認知開發安全性，只是把安全性作為一個戰術層面或者簡單的規范，沒有實施端到端的戰略方法。在開發過程缺乏對安全性的控制，很明顯會把風險從開發過程轉移到軟件運行階段。

　　實際上，在安全性方面進行投入會有豐厚的回報。2011年Aberdeen的報告中指出了8個提升投資回報率的方法，其中實施安全戰略，軟件企業可以獲得超過4倍的ROI。對軟件企業來說，實施安全戰略還有更多好處。軟件開發企業Itron應用了微軟的SDL（軟件安全生命周期）戰略，他們說已經有很多客戶在詢問安全開問題，而應用SDL不僅可以很清晰明確地地告訴客戶“我們有很全面的安全計劃”。

　　有標準，好辦事

　　對軟件客戶來說，在考慮開發者是否提供足夠安全性時，可能會提出類似以下的問題：你們的代碼掃描工具實時很么？你們有沒有足夠的人負責安全？你們的安全措施和別人一樣么？提出這些問題看似能讓自己安心，但是有的時候并不能真正切中要害，同時很重要的一點，是對安全性的部分確認，等于鼓勵對方只進行部分實施。

　　從安全戰略角度，以上擔心更好的解決方案是從系統性方面提出問題：在安全性方面，你們是否有公司層面的策略和管理支持？你們對風險的評估和改善是否考慮全面？在軟件生命周期中安全性的實施如何保證？隨著問題越來越多，可以把所有疑問替換為一個問題獲得終極答案：你們企業是否試試了ISO 27034？