بایگانی ماهیانه: شهریور ۱۳۹۰

یادداشت من در ماهنامه بانکداری الکترونیک

ماهنامه بانکداری الکترونیک، شماره مرداد و شهریور در صفحه نوزده و بیست، یادداشتی از من و یکی از همکاران با عنوان “مکانیزم ها و شاخص های امنیت نرم افزارهای بانکداری الکترونیکی” به چاپ رسانده است.

سایت مرکز فرهنگ سازی و آموزش بانکداری الکترونیک شبکه بانکی کشور (فابا)

اشتراک گذاری

مقایسه پیچیدگی کشف مشکلات امنیتی و رفع آنها

پاراگرافی کلیدی از گزارش سالانه Veracode در مورد وضعیت عمومی امنیت نرم افزارها و برنامه های کاربردی:

“A common misperception is that it is easy to find defects and difficult to fix them. While this may often be true of functional defects in software it is less true for security defects. Observing a variance from functional specifications is relatively easy but determining the root cause can be hard. Conversely, determining that an application allows someone to do something it was never intended to do is actually quite difficult but relatively easy to fix once known.”

موضوع این است که پیدا کردن مشکلات امنیتی نرم افزار عموماً مشکل است اما رفع کردن آن پس از یافتن، چندان مشکل نیست (مثلاً یک خطای عدم اعتبارسنجی صحیح ورودی). اما نکته اینجاست که هر قدر نرم افزار پیچیده تر باشد، هم یافتن مشکلات امنیتی سخت تر و هم رفع آنها سخت تر و پر هزینه تر میشود، به همین دلیل جلوگیری از مشکلات و خطاهای امنیتی هر قدر زودتر (در فازهای قبل از پیاده سازی یا در هنگام پیاده سازی) اتفاق بیافتد، به صرفه تر است.

 

اشتراک گذاری