合规系列:软件安全与合规简介
当今企业所面临的挑战中,最紧迫的之一就是实现并保持对各种行业与政府法规、标准的合规性。因未能遵守法规而导致的严厉经济处罚,往往会给企业带来沉重的负担。这一系列博客将着眼于阐述微软安全开发生命周期( SDL ) 是如何帮助企业达到各种合规性要求的。
初看之下,软件安全与合规这两个领域的重叠似乎只局限在针对特定软件所发布的标准中,例如支付应用数据安全标准( PA-DSS )。然而,事实上软件安全与合规这两个领域是紧密交织在一起的。现今大多数企业的关键流程都极其依赖软件。例如,在很多合规认证中,尤其是在安全数据流的保全方面,都要依赖软件处理以确保该数据的安全。有一些措施是必须被贯彻落实以达到规定或标准的要求,比如 PCI DSS 或 Sarbanes-Oxley (SOX) ;还有一些措施是应该被实行以确保企业流程的安全。这种向对软件高依赖性的转变,正推动企业重新审视自身的应用程序安全策略,也促使他们在安全流程方面对他们的软件供应商提出更多要求。
今年早些时候,我们发布了一份白皮书,题为“良好的应用程序安全在合规上的优势”。这份白皮书论证了一个完善的软件安全方案可以广泛促进企业合规并提高工作安全。 主要法规和标准的演变及解释,反映了向可信赖软件与系统发展的趋势。在实际的工作安全中,如果只是将软件安全列为合规清单中的普通一项,将会有极大地风险。拥有一个完善的软件安全处理办法对信息安全和广泛促进企业 IT 合规是至关重要的。 |
|
安全开发流程是有着显著的积极(和减低成本)作用的,尤其是在所产出的全套或某个组件在其他领域中也要满足合规。比如,基于应用程序安全需求集合的核心组件将有助于推动网络结构进行防护和补偿控制。了解合规要求,制定同时包含应用程序安全和补偿控制的安全需求,能够使向审核人员阐述流程安全变得更简单。这也能帮助揭示工作环境中有缺陷的设想从而节省大量经费,比如避免对不必要补偿控制的获取和维护。
同样重要的是要注意威胁建模(安全开发流程中的一个重要部分)所产出的组件能够帮助预测可能的攻击者的活动,进而有助于保护系统免受攻击。
新的法规和标准不断涌现和发展。合规优先的方式意味着软件开发流程将需要被持续的修正和改进;这样做代价昂贵,且对系统的工作安全见效甚微。相反,专注于建设一个成熟的安全软件开发生命周期能够帮助创造一个显著比例的合规覆盖范围。在内部采用安全开发生命周期并要求在供应链中全面贯彻,能够让企业降低风险,自信的把握商机,充分利用云部署和服务,并达到严格的审核要求。
想了解更多有关软件与合规的信息,请前往微软安全开发生命周期合规中心(Microsoft SDL compliance center)。
Tim Rains
部门总监
可信赖计算部