資安問題的主要癥結點,隨著時代不斷演變,如今業界專家紛紛發現,真正最難以防禦的風險所在,已經不再是以往單純的網路漏洞或系統弱點,而是應用程式本身的安全性。
眾所周知,其實在絕大多數的應用軟體開發過程中,並未將完整的安全性納入通盤規劃,更別提在後續的測試、驗收、上線使用甚至移轉更新時所需的安全措施。
以往由於資安威脅較少,資安問題造成的影響也較小,企業組織極少針對程式的安全性進行要求,因此只求功能、不問安全的應用軟體比比皆是,然而卻造成了今天各種應用程式(包含網頁程式)在內的安全漏洞百出,帶來莫大的風險與損失。根據Geekonomics: The Real Cost of Insecure Software一書的作者David Rice估算,每年由於軟體漏洞造成的損失高達1,800億美元。
軟體安全漏洞嚴重
這樣的問題其來有自。過去校園裡的程式設計課程,幾乎沒有針對軟體開發通盤安全性的訓練,許多專案都是在無比的時間壓力下進行,程式設計師的專長又不在資訊安全,即使想要改進也是心有餘而力不足。近年來也有業者推出程式源碼安全掃描的工具,甚至可結合開發環境,在撰寫應用軟體的過程中就隨時提供輔助。不過工具畢竟只是工具,如果相關的專業人員缺乏完整的安全意識,即使輔助工具再強,還是無法真正有效降低軟體本身的安全風險。
其實業界早已開始注意到這個問題,尤其許多外商在招募人才時,也會特別要求與軟體生命週期相關的人員必須擁有安全軟體知識。不過,徵才的企業卻面臨到難以驗證的問題,自行進行繁複的測驗又不見得可行,徵才條件往往形同具文。相反地,許多有遠見的程式老手或新秀,即使自我加強了軟體安全的技能,卻也很難向客戶或徵才企業證明自身的實力。這樣的狀況,也阻礙了安全軟體開發概念被普及應用的腳步。
CSSLP程式安全認證
有鑑於資訊業界的這個需求,專為全球資安人員提供教育及認證服務的(ISC)2機構研擬推出了名為CSSLP(Certified Secure Software Lifecycle Professional)的認證,可以用來證明軟體開發相關人員具有高安全性的程式設計能力。(ISC)2總部位於美國,是一個非營利性的資安產業組織,曾經倡行許多知名的國際資安認證,包括CISSP等。
(ISC)2董事暨資訊安全論壇(ISF)新任主席 Howard Schmidt指出,超過70%的安全漏洞問題存在於應用軟體層面上,對全世界的用戶造成了嚴重且直接的威脅,如今每天都有新開發且缺乏基本安全性監管的應用程式問世,而目前數以千計的安全漏洞也常常被忽略。CSSLP藉由制訂出最佳實作規範,並針對個別人員在整個軟體生命週期中解決安全問題的能力給予資格認證,CSSLP的終極目標是要消弭由於開發過程中的缺失而造成的種種應用程式安全漏洞問題。
「缺乏安全防護的軟體不僅對企業是一個威脅,同時也會增加生產成本、延緩軟體開發,另外還使終端用戶不得不安排額外人員來維護軟體,」擁有 CISSP、ISSEP、CAP、CISA 及 CNSS 資格的(ISC)2總幹事 W. Hord Tipton表示,「CSSLP 將成為對關鍵基礎設施進行更好的保護、減少軟體事故訴訟風險,以及更好地遵守行業和政府有關條例的關鍵因素。」
審查確保鑑別力
CSSLP認證的架構是採取全面性的角度來看待軟體的安全問題,同時,由於CSSLP採用的是中性代碼語言,所以可以適用於軟體生命週期中涉及的所有人員,包括專案經理、系統分析師、軟體工程師、軟體架構師、程式設計師、軟體品保測試人員等。
CSSLP 考試的項目包括軟體生命週期、弱點、風險、資訊安全基礎知識以及法規遵循等。申請考試者必須擁有至少四年的相關實際工作經驗,或者三年以上的工作經驗但擁有資訊相關的大學學歷。
通過考試的資訊工作者將可以證明自己具有高度能力,能跨各種程式語言,把優異的資安實作融入軟體開發生命週期的各個階段中。SANS研究總監Alan Paller也認為,CSSLP可以補充該公司用於測試軟體開發人員安全編碼技能的GIAC安全軟體編程工程師(GSSP)認證的不足。
CSSLP CBK最佳實作及研習課程內容則涵蓋了關於安全軟體項目的七個領域,包括:安全軟體的概念,安全軟體的要求,安全軟體的設計,安全軟體的實施和編碼,安全軟體的測試,軟體驗收,軟體配置、操作、維護和處置。
明年六月首次考試
首次CSSLP考試定於2009年6月底進行,即日起至2009年3月31日止接受符合經驗與相關要求的專業人士報名參加資格審查。通過報名者可望成為第一批擁有CSSLP 資格的專家,而且還將被邀請參與後續考試開發程序並協助其他項目的開發工作。
第一期CSSLP官方課程培訓班預定於2009年第一季開始舉辦,目前台灣地區合作的開課機構尚未底定,有意報名或了解最新相關訊息的讀者,可以瀏覽網站「http://www.isc2.org/CSSLP 」。網站公佈的報名及資格審查費用是650美元,但確實相關費用應以實際報名時的資訊為準。
據了解,許多知名企業及機構已經表達對CSSLP的支持,包括微軟、賽門鐵克、思科、商業應用軟件開發商協會(BASDA)、印度資料安全委員會(Data Security Council of India-DSCI)、SANS、SRA 國際、最佳代碼軟體保護論壇(SAFECode)、Xerox、ISSA以及Frost & Sullivan等,其中一些機構正準備選派符合資格的軟體開發人員參加培訓和考試。
保持最新技術水準
由於(ISC)2每每都制定出成為業界標準的CBK(共通知識體),而在資安領域名聞遐邇。(ISC)2相信,未來CSSLP將會具有重要的地位,部份原因是由於它是業界唯一可確保已將安全考量納入整個軟體生命週期中的認證。不像某些認證,以CSSLP CBK為基礎的CSSLP並非只是一個考試或一門課程,而是一套將隨著資安面貌的改變而持續演化 的完整計畫。(ISC)2的專家將不斷修訂CSSLP CBK與認證計畫,確保其內容符合最新有效的實際情況。
考取CSSLP資格者,仍須每三年重新取得認證,而在此三年間,每年都必須研修一定份量的CPE(持續專業教育,Continuing Professional Education)課程。「今天安全的做法,不見得到了明天仍然安全。」(ISC)2認為,唯有有如此,才能夠確保CSSLP成員持續擁有頂尖的資安能力。