软件保证

软件保证始于代码质量和质量的证据。你可以假设一个软件缺陷发现一个产品的开发过程中可能需要1美元来弥补。如果缺陷逃开发阶段和进入独立测试阶段将约100美元来弥补成本。如果缺陷逃独立测试阶段,使其生产成本将约1000美元来弥补。如果敏感数据丢失或攻击者使软件做一些他们不应该做的事情,通过开发一个已知的软件缺陷,该缺陷的成本可能超过成千上万的美元来修复,如果修复甚至是可能的——影响可能远远超出任何金钱可以代表。

软件保证(SwA)定义随着水平的信心,从漏洞软件是免费的,有意设计到软件或不小心插入在任何时候在它的生命周期,以预期的方式和软件功能。

获得软件保证的第一步是提高质量的各个方面的应用程序/软件直接控制和有证据来支持你对软件质量的信心。这部分可以进一步细化为三个部分,其中可以包括所有软件弱点可以利用软件在操作时:

• 你直接写的软件。
• 你合同别人写的软件,你(通常是领域专家)。
• 软件你,或你的开发承包商,包括从第三方库到您的软件应用程序中,开源的,许可或购买的软件工具。

组织、管理和提供证据支持断言对软件的质量在很多方面可以接近。在一些组织中这是一个方面的体系认证和认证,但另一种方法,这是相当新的,但前途是与一个保证情况。

国土安全部的软件保证程序的国家网络安全部门协办单位软件和供应链保证(私)论坛每半年一次组织在国防部和国家标准与技术研究所。国土安全部还提供了在线资源来支持社区和行业工作小组与他们的软件保证社区资源和信息交流中心(SwA CRIC)和构建安全网站。

缺乏共同的特征利用软件构造提出了实现软件保证的主要挑战之一。作为它的软件保证公私协作努力的一部分,国土安全部继续提供的赞助常见的弱点枚举(CWE™)提供必要的描述可利用的软件结构。CWE更好使所需的教育和培训的程序员如何消除稀松平常的错误之前软件交付并投入运营。缓解实践与每个CWE标识符相关联,以及常见的攻击模式(CAPEC™)。这与国土安全部”构建安全为软件保证”的方法,这样在前端软件开发更安全;避免安全问题从长远来看。CWE以及常见的弱点风险分析框架(CWRAF™)和常见的弱点评分系统(水煤浆™),提供了一个标准意味着理解剩余风险,从而使更明智的决策,供应商和消费者的安全和弹性软件。