常见的弱点枚举

CWE术语表定义

可管理的步骤

消除所有的软件缺陷是不切实际的今天。使用中长期逐步方法来消除你的特定Top-XX列表共同的弱点的一个有条不紊的提高软件的安全性。

一些组织已经发现是不切实际的重新培训所有的开发人员在今天的一系列工具来检测软件的弱点。这些组织已经建立了一个软件保证模型的一小群人,训练有素的使用这些检测工具,充当一个漫游”软件保证卓越中心(SwA CoE)。“这支球队是提供给所有的项目组织的控制下的介入和评估他们的软件中使用的代码开发和环境共同的弱点和已知的漏洞。与开发项目经理合作,发现的问题划分为三组:第1组的列表是“必须在释放之前修复”问题;组2是“很高兴以前固定版本”;和组3是“范例是固定的问题列表”。然后开发项目经理设计一个中长期逐步根除计划。的时间取决于问题的严重程度确定为他们与你的组织特定的敏感性和接受风险的能力。问题不是简单的列表移交墙上开发组织。评估小组指导和教练是可用的开发团队理解艺术的威胁,这种威胁的正确的决议。

卓越中心将受益于项目软件开发团队的旋转,然后回到项目团队。这将构建的知识如何检测和解决组织内部的软件保证问题。

新规则来构建软件

财富可能忙的大胆,但在可预见的未来,好的软件工程强调防守的编码实践。大多数程序员和软件工程师还没有学会去开发代码的软件保障模式。这意味着你最好的程序员可能不知道他们正在建造的弱点为他们生产的软件产品。你最新的程序员也没有被训练来构建软件在安全模式。培训开发工程师将成为必要为了构建软件适应已知的弱点和漏洞。构建软件保证卓越中心的是一个好的开始。显然能够旋转您的编程人员通过SwA CoE将随时间加强代码安全,保护你的投资在您的开发人员。

改变软件是通过它的生命周期管理

传统上,项目经理保持控制和负责软件产品的开发和/或收购。一旦程序或软件产品已经发布,或收购,项目经理的责任。将更加强调软件质量保证和项目经理可以更好的维护负责软件产品在其整个生命周期。从开发/项目经理维护责任收购阶段,进入维护阶段,最终退休阶段的产品生命周期。

这种项目管理方法降低的好处“刚刚发布的软件/收购”,专注于产品的整个生命周期。例如,添加额外的软件开发盖茨通过,如执行软件质量工具在源代码基础上,增加费用和可能的延迟在开发阶段,但获得高投资回报率在维护阶段的产品生命周期。

如果你不负责维护活动你可以优化的交付/收购部分生命周期的维护部分的生命周期。这种平衡也有1美元的潜在储蓄和潜在的费用为1000美元,或者更多,。

创建一个软件保证清单

下面是一个软件保证清单。这是一个列表的操作您的组织可以为了提高总的软件保证和保护共同的弱点和已知的漏洞。这不是一个完整列表,但这些活动添加到现有的过程将使您的企业受益。如果你获得从“领域专家”软件,验证您的领域专家意识到他们应该交付的产品是安全的遵循行业最佳实践。这成本或时间不应该添加补充合同,因为作为一个领域专家他们应该已经做所有这些建议作为开发过程的一部分。

软件保证清单

• 打开在你的编译器警告和错误。
• 需要书面解释为什么一个特定的“警告”可以忽略。
• 需要独立审查符合“警告作为错误”政策源代码之前签入你的配置管理工具。

• 执行一个“免费”源代码静态分析工具和创建一个策略,然后发现必须解决之前签入你的配置管理工具。
• 需要书面理由为什么一个特定问题确定的“自由”的静态分析工具可以忽略。
• 需要独立审查合规问题的决议确定的“免费”源代码静态分析工具政策源代码之前签入你的配置管理工具。

• 购买/许可证几个商业运行静态分析工具一套源代码静态分析。
• 需要书面理由为什么一个特定问题确定的静态分析工具套件可以忽略。
• 需要独立审查合规问题的决议确定的静态代码分析套件政策源代码之前签入你的配置管理工具。

• 一旦所有的静态分析工具已经被执行,所有的问题已结案,执行安全分析工具和解决所有的问题报告。
• 需要书面理由为什么一个特定问题确定的安全分析工具可以忽略。

• 保存所有开源的代码用于您的产品相同的标准你屏住有机开发的软件。
• 如果购买软件,添加合同语言为你确保代码开发满足相同的软件保证标准代码开发。
• 采用常见的弱点评分系统(水煤浆)组织内识别常见的弱点你的组织是敏感的
• 采用常见的弱点风险分析框架(CWRAF)组织内识别你的优先”Top-XX共同弱点”列表。
• 教育在先进的软件项目管理人员保证方法和技术管理水平。
• 教育在先进的软件开发人员技术水平保证方法和技术。
• 单口软件保证卓越中心的处理你所有的计划。