笔者之前看过一篇文章写得很好，里边提及了会写程序的有许多人，可是会写安全程序却没有几个。

而如果在开发初期就将安全问题归入规划，本钱是***的!

在开发阶段就履行正确而安全的程序写法，是最完全处理的办法!

当上线之后，才发现程序自身就不安全，那么或许为时已晚。

在你还没找到补破洞的办法之前，材料或许现已走漏出去了!

面对新版的”个人材料保护法”势在必行，企业不得不正视Web应用程序的安全问题。可是，企业面对的难题在于，企业内部的安全人员大多是IT根底架构的成员，曩昔听到的”安全”论题，多是网管或系统管理组的担任范畴。

关于应用程序面的安全，企业的了解相对而言很有限，而开发人员自身更不用说。咱们一般会问”你会不会写程序”，罕见问询”你会不会写‘安全的’程序”。

程序设计师在技术养成的过程中，就不曾触摸过相关论题，据了解，直至今天的大专院校仍罕见”安全的程序开发”相关课程。

再加上专案时程紧凑，能够按时、无误又契合需求地交给上线，便是很不简单的作业，因而”安全”更是无暇顾及的作业。现在资讯主管要求开发者写”安全的程序代码”，几乎是水中捞月。

缺点在开发前期处理，本钱***

该怎样处理这样的问题?许多对安全敏感性较高的工业，早已挑选浸透测验，请安全专家以黑客的方法查验网站的安全性。可是浸透测验费用不低，无法频频地履行，一般来说，是一年1至2次，所以无法不时把关安全性。

因而，市面上也呈现了”静态程序代码安全性检测”及”动态程序代码安全性检测”东西，期望协助企业在安全意识缺乏的情况下，透过东西的自动化扫描，抓出安全性缝隙，并供给缺点说明与批改主张，从而学会处理的方法。

动态程序代码检测东西及浸透测验都是在模仿黑客的方法，测验找到网站的缺点，并供给相关陈述。这种作法比静态程序代码安全性检测全面，由于能够抓出操作系统、应用服务器的缝隙，及设定面问题。

不过，静态程序代码安全性扫描东西的强项在于，能地毯式地扫描程序代码、抓出不安全的写法，并供给批改主张，是从本源就做好防护的安全性作法。

究竟软件上线后才发现问题，再去处理的本钱是开发阶段的100倍。

OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美国年会上，开宗明义说道：”许多单位把大部分的安全预算花在‘黑(Hacking)’，也便是做浸透测验跟扫描。这没什么错，这些作业是重要的，可是咱们没办法把自己‘黑’得更安全。”

在开发阶段就履行正确而安全的程序写法，是最完全的处理办法。若再调配浸透试，可进一步验证成效。

【修改引荐】

1. 企业需要在应用程序开发时确保数据安全
2. 2009网络灾祸年：数据安全不能接受之轻
3. 怎样使数据备份更安全