为什么你的软件总被攻击?可能是开发阶段就埋了雷

为什么你的软件总被攻击?可能是开发阶段就埋了雷 说个真事。去年有个做政务系统的朋友跟我诉苦说他们花了大半年开发的平台刚上线就被安全扫描出了一堆漏洞。最离谱的是有个接口直接把用户密码明文返回了——不是在日志里是接口本身。排查了一圈发现不是安全部门不努力是开发团队压根没这个意识。需求文档里没写安全要求代码review也不查这一块等测试的时候才发现问题一堆最后只能打补丁。这就是典型的重功能、轻安全思维。后来他们痛定思痛去做了个软件安全开发资质认证。据我了解这个认证不是考你代码写得多漂亮而是看你整个开发流程里有没有把安全这根弦绑进去——需求分析阶段的风险识别、设计阶段的安全架构、编码规范的执行、测试阶段的安全验证一环扣一环。资质是什么CCRC软件安全开发资质是中国网络安全审查认证和市场监管大数据中心颁发的认证。说白了就是有个官方认定的第三方来审核你这家企业的软件开发过程到底规不规范、安不安全。这个认证分三个级别市面上申请比较多的是三级。初次申报的话主要看四个方面基本资格公司得成立一年以上这个不难理解管理能力你有没有成体系的安全开发管理文档和流程技术能力技术团队能不能支撑这些安全要求的落地过程能力项目过程文档能不能证明你确实按流程做了身边做等保项目的同行透露现在政府类和金融类的项目招标甲方越来越关注软件开发方的安全资质了。有这个认证至少说明你们不是草台班子。申请门槛到底有多高很多人听到资质认证三个字就头皮发麻觉得是不是大公司才能搞。说实话确实有门槛但不是那种遥不可及的高。关键要求就几条人员方面需要配备10名左右的信息安全服务相关人员而且至少要有3个月以上的社保记录。这意味着你不能临时拉人凑数团队得是真实存在的。项目方面得提供至少一个与软件安全开发相关的项目合同注意是近三年的。这条卡掉了一批纯做内部系统的公司但如果你有对外交付的项目基本能满足。文档方面每个项目要有完整的过程文档包括需求说明书、安全设计文档、测试报告之类的。这个其实是最麻烦的——很多小公司项目做了就做了文档管理一塌糊涂补起来相当费劲。有个细节我想单独说下过程文档不是越多越好而是要能证明你真正执行了安全开发流程。之前有个客户一口气提交了几百份文档结果评审老师一问发现好几个环节的签字时间对不上反而扣了分。认证周期要多久官方给的参考周期是4-5个月。但根据我观察业内的实际案例这个时间得打个折扣——如果你公司基础比较好文档体系已经成型最快3个多月能拿到证。但如果你是从零开始准备材料、补流程、整改问题半年起步都是正常的。认证有效期是三年到期需要年审。具体详情联系老师优惠多多。哪些行业对这个认证需求比较大说几个我知道的政务系统政府采购项目现在基本都有安全资质要求没有的话连门槛都进不去。金融行业银行、证券、保险这些做核心系统的外包开发甲方必看的资质之一。医疗健康医疗信息化这两年监管越来越严等保安全服务资质基本是标配。教育行业在线教育平台、学校的信息化系统现在也都开始要求了。值不值得做我的看法是——看你现在的业务结构。如果你的客户主要是中小型企业私有化部署对安全资质没有硬性要求那这个认证的优先级可以往后放。但如果你的目标客户是政府、央企、金融机构这些或者你想做大项目的投标这个认证基本是迟早要拿的。早拿早主动临时抱佛脚会很被动。有个行业规律资质这东西锦上添花的时候不觉得但当你真正需要一个客户的时候就会发现它不够用。建议提前规划别等到项目来了才发现自己没有入场券。