在任何新的軟件開(kāi)發(fā)項(xiàng)目開(kāi)始時(shí)都應(yīng)考慮軟件安全性。開(kāi)始一項(xiàng)工作可能會(huì)讓人望而卻步，因?yàn)樾枰龀鲈S多決定，并且必須仔細(xì)考慮。這通常包括定義項(xiàng)目需求、選擇正確的流程、選擇正確工具和確保軟件安全。

出于這個(gè)原因，我們組織了一個(gè)循序漸進(jìn)的指南，幫助您完成新項(xiàng)目中最耗時(shí)和最困難的挑戰(zhàn)，以確保您的項(xiàng)目取得成功。

安全軟件開(kāi)發(fā)最佳實(shí)踐
安全的軟件開(kāi)發(fā)最佳實(shí)踐可以簡(jiǎn)單地分為四個(gè)主要部分：
1. 了解您的項(xiàng)目要求
2. 定義軟件開(kāi)發(fā)流程
3. 為項(xiàng)目選擇合適的工具
4. 設(shè)置DevSecOps

SAST 工具（如Klocwork）可以幫助您滿(mǎn)足每個(gè)部分的建議指南。

了解您的項(xiàng)目要求

在項(xiàng)目開(kāi)始時(shí)，您需要考慮幾個(gè)因素 。通過(guò)查看這些內(nèi)容，它將幫助您更好地了解您的項(xiàng)目要求。

概述項(xiàng)目
花時(shí)間了解項(xiàng)目本身，并提出有助于指導(dǎo)整個(gè)開(kāi)發(fā)生命周期決策的問(wèn)題。像這樣的問(wèn)題：
?正在開(kāi)發(fā)什么類(lèi)型的項(xiàng)目？（嵌入式、云服務(wù)、前端/后端軟件等）
?這個(gè)項(xiàng)目面向哪個(gè)行業(yè)？（ 汽車(chē) 、 航空航天 、企業(yè)、 醫(yī)療 、 金融 等）
?軟件將如何使用以及在什么設(shè)置下使用？（企業(yè)、中小企業(yè)、B2B、B2C等）

定義項(xiàng)目愿景
對(duì)應(yīng)用程序?qū)⑻峁┑膬?nèi)容有一個(gè)愿景，有助于為工作樹(shù)立一顆指路明燈。通過(guò)制定客戶(hù)問(wèn)題、痛點(diǎn)以及應(yīng)用程序?qū)⑷绾谓鉀Q這些問(wèn)題的明確規(guī)范，將有助于確保您提供正確的解決方案。

確定合規(guī)性要求
確定作為項(xiàng)目行業(yè)、供應(yīng)鏈、業(yè)務(wù)或客戶(hù)要求的一部分是否存在代碼合規(guī)性要求。

此外，您還需要確定需要什么級(jí)別的信息安全、功能安全和質(zhì)量合規(guī)。這可能包括編碼標(biāo)準(zhǔn)，例如：
? CWE
? CERT
? CVE
? OWASP
? DISA-STIG
? MISRA
? AUTOSAR

從項(xiàng)目一開(kāi)始就選擇并遵循一個(gè)標(biāo)準(zhǔn)將減少將來(lái)的合規(guī)性難題。

選擇靈活的編程語(yǔ)言
確保您的編程語(yǔ)言（無(wú)論是 C、C++、C#、Java或JavaScript）-最適合您的項(xiàng)目。選擇最合適的編碼語(yǔ)言可為您帶來(lái)以下好處：
?易于開(kāi)發(fā)
?代碼的可維護(hù)性
?接觸熟練的開(kāi)發(fā)人員
?明確的編碼標(biāo)準(zhǔn)和最佳實(shí)踐

您選擇的語(yǔ)言可以決定您的軟件是否保持價(jià)值和活力。

開(kāi)發(fā)代碼設(shè)計(jì)
花時(shí)間制定設(shè)計(jì)規(guī)范。通過(guò)這樣做，您能夠驗(yàn)證系統(tǒng)邏輯，確定所有組件是否將一起正確執(zhí)行，并幫助確保軟件安全。這可能意味著成功發(fā)布和代價(jià)高昂的重新設(shè)計(jì)之間的區(qū)別。

建立代碼架構(gòu)
規(guī)劃您的代碼庫(kù)以確保其井井有條。請(qǐng)務(wù)必考慮以下事項(xiàng)：
?文件命名約定
?為項(xiàng)目定義模塊
?層次和結(jié)構(gòu)

通過(guò)提前完成這項(xiàng)工作，您可以為開(kāi)發(fā)人員提供一個(gè)清晰的模板去遵循，以便將來(lái)更輕松地進(jìn)行維護(hù)。

定義您的軟件開(kāi)發(fā)流程

雖然您的開(kāi)發(fā)過(guò)程對(duì)于您的項(xiàng)目需求和要求是獨(dú)一無(wú)二的，但我們建議您考慮以下幾點(diǎn)：

確定需要實(shí)施哪些軟件安全最佳實(shí)踐
根據(jù)行業(yè)的不同，您的開(kāi)發(fā)項(xiàng)目可能需要遵循特定的最佳實(shí)踐和標(biāo)準(zhǔn)。此時(shí)，您應(yīng)該使項(xiàng)目要求與開(kāi)發(fā)過(guò)程保持一致。這可能包括遵循功能安全標(biāo)準(zhǔn) （如 IEC 61508 ）和遵循安全編碼實(shí)踐（如CERT或CWE）。

靜態(tài)分析器 （如 Klocwork ）可以幫助執(zhí)行項(xiàng)目可能需要的任何標(biāo)準(zhǔn)、最佳實(shí)踐和條件。

與開(kāi)發(fā)方法保持一致
無(wú)論您的開(kāi)發(fā)過(guò)程是Agile/Waterfall, Scrum/Kanban還是您當(dāng)前可能擁有的任何其他過(guò)程，都無(wú)關(guān)緊要。重要的是，您需要在適合您的業(yè)務(wù)、開(kāi)發(fā)人員和開(kāi)發(fā)團(tuán)隊(duì)打算交付項(xiàng)目的方式的開(kāi)發(fā)流程上保持一致。

在方法上保持一致的目的是擁有一個(gè)確保組織和溝通以及幫助防止開(kāi)發(fā)過(guò)程中出現(xiàn)問(wèn)題的過(guò)程。

組織您的環(huán)境設(shè)置
一般來(lái)說(shuō)，確定并創(chuàng)建項(xiàng)目所需的環(huán)境以確保整個(gè)團(tuán)隊(duì)使用相同的設(shè)置非常重要。最佳做法是，應(yīng)為以下對(duì)象設(shè)置單獨(dú)的環(huán)境：開(kāi)發(fā)、用戶(hù)驗(yàn)收測(cè)試 （UAT）、階段化和生產(chǎn)。

使用存儲(chǔ)庫(kù)工具
使用版本控制工具（如 Helix Core ）建立源代碼存儲(chǔ)庫(kù)。這使您的開(kāi)發(fā)團(tuán)隊(duì)能夠：
?花更少的時(shí)間處理工具和流程。
?停止在手動(dòng)工作流程上浪費(fèi)時(shí)間，使他們能夠重新開(kāi)始編碼。
?高效處理數(shù)以萬(wàn)計(jì)的文件以及數(shù)PB級(jí)的數(shù)據(jù)。
?將代碼中的更改內(nèi)容與更改原因聯(lián)系起來(lái)。

除了代碼存儲(chǔ)庫(kù)之外，還應(yīng)考慮使用其他工具或流程來(lái)存儲(chǔ)和跟蹤其他與項(xiàng)目相關(guān)的內(nèi)容。這包括：
?將項(xiàng)目使用的工具和組件保留在整個(gè)團(tuán)隊(duì)可以輕松使用的地方。
?為計(jì)劃、文檔和開(kāi)發(fā)人員入職提供中心位置。
?在項(xiàng)目管理軟件（如Helix ALM）或問(wèn)題跟蹤軟件中定義工作任務(wù)。

通過(guò)建立這些存儲(chǔ)庫(kù)，您可以幫助確保您的開(kāi)發(fā)高效、內(nèi)容安全，并且知識(shí)易于快速上手新開(kāi)發(fā)人員。

通過(guò)安全編碼實(shí)踐強(qiáng)制實(shí)施軟件安全性
通過(guò)遵循安全編碼實(shí)踐，將安全實(shí)施構(gòu)建到開(kāi)發(fā)過(guò)程中，并使用安全編碼工具幫助強(qiáng)制實(shí)施合規(guī)性。此外，為您的團(tuán)隊(duì)提供安全培訓(xùn)和學(xué)習(xí)材料，以幫助發(fā)展安全文化。 SAST 工具（如Klocwork）可以幫助解決這些問(wèn)題。

將檢查合并到開(kāi)發(fā)管道中
在整個(gè)開(kāi)發(fā)管道中實(shí)施安全檢查有助于強(qiáng)制實(shí)施良好的編碼實(shí)踐。在開(kāi)發(fā)代碼時(shí)，請(qǐng)務(wù)必注意安全，建議您在開(kāi)發(fā)人員的 IDE、CI/CD管道 中以及在持續(xù)集成構(gòu)建期間使用SAST掃描。

出于測(cè)試和重構(gòu)目的，請(qǐng)確保開(kāi)發(fā)人員正在編寫(xiě)單元測(cè)試，并且質(zhì)量保證正在編寫(xiě)功能測(cè)試。通常，請(qǐng)考慮所有可能的測(cè)試策略，并確保盡可能創(chuàng)建并自動(dòng)化安全性和其他測(cè)試。

為您的項(xiàng)目任務(wù)和功能定義“完成”
即使任務(wù)或功能看起來(lái)已完成并在開(kāi)發(fā)人員的桌面上編譯，但事實(shí)并非如此。你需要有一個(gè)明確的流程來(lái)定義工作——從頭到尾。

最佳做法包括：
?需求捕獲
?工作范圍
?定義驗(yàn)收標(biāo)準(zhǔn)
?為代碼開(kāi)發(fā)單元和功能測(cè)試用例
?進(jìn)行 同行代碼評(píng)審
?集成測(cè)試、安全測(cè)試以及從所有階段到最終環(huán)境測(cè)試的自動(dòng)化

鼓勵(lì)反饋和溝通
團(tuán)隊(duì)和開(kāi)發(fā)人員之間的反饋和溝通對(duì)于項(xiàng)目的成功至關(guān)重要。

重要的是，您的開(kāi)發(fā)人員能夠從代碼提交中獲得快速反饋，以便他們能夠及早解決編碼問(wèn)題，并為項(xiàng)目干系人提供有關(guān)項(xiàng)目進(jìn)度、指標(biāo)和潛在風(fēng)險(xiǎn)的見(jiàn)解。

在自動(dòng)化之外，為開(kāi)發(fā)人員提供足夠的時(shí)間進(jìn)行代碼審查、規(guī)劃和回顧非常重要。這些都將有助于確保在消除通信障礙時(shí)保持高開(kāi)發(fā)速度。

為您的項(xiàng)目選擇合適的工具

項(xiàng)目的一個(gè)重要部分是選擇正確的工具。工具選擇很重要，因?yàn)樗兄跇?biāo)準(zhǔn)化您的項(xiàng)目，并使團(tuán)隊(duì)中的每個(gè)人都能“說(shuō)同一種語(yǔ)言”。這為以下方面提供了整個(gè)團(tuán)隊(duì)的好處：
?生產(chǎn)力
?公共知識(shí)
?測(cè)試和調(diào)試
?入職

為了幫助確保為團(tuán)隊(duì)選擇最有效的工具集，請(qǐng)考慮以下準(zhǔn)則：
?研究和查看所有工具選項(xiàng)，并根據(jù)項(xiàng)目和團(tuán)隊(duì)要求對(duì)其進(jìn)行評(píng)估。
?了解工具選擇的成熟度以及可用的支持類(lèi)型，例如技術(shù)支持、幫助資源和主動(dòng)維護(hù)。
?考慮工具、團(tuán)隊(duì)的經(jīng)驗(yàn)水平以及招聘新開(kāi)發(fā)人員的能力將受到怎樣的影響。
?檢查工具集之間的兼容性。

無(wú)論您選擇哪種工具集，我們都建議它包括以下內(nèi)容：
?代碼存儲(chǔ)庫(kù)和版本控制 ，用于跟蹤和管理對(duì)源代碼、數(shù)字資產(chǎn)和大型二進(jìn)制文件的更改。
?靜態(tài)代碼分析器和SAST工具，用于強(qiáng)制實(shí)施安全編碼實(shí)踐，并識(shí)別缺陷、漏洞和合規(guī)性問(wèn)題。
?應(yīng)用程序生命周期管理工具在項(xiàng)目的整個(gè) 應(yīng)用程序生命周期 管理中提供端到端的可追溯性。

為您的軟件開(kāi)發(fā)項(xiàng)目設(shè)置 DevSecOps

將 DevOps 的速度和規(guī)模 與安全編碼實(shí)踐相結(jié)合 ，DevSecOps是必不可少的軟件安全最佳實(shí)踐。通過(guò)遵循DevSecOps方法，您可以：
?盡可能多地自動(dòng)化流程—安全性、配置、管理、測(cè)試等。這將為開(kāi)發(fā)人員騰出時(shí)間專(zhuān)注于新的代碼和功能。
?定義成功/失敗指標(biāo)，并主動(dòng)監(jiān)控和報(bào)告項(xiàng)目結(jié)果。這有助于您更快地發(fā)現(xiàn)問(wèn)題和漏洞，做出更明智的決策，并在整個(gè)應(yīng)用程序中強(qiáng)制實(shí)施項(xiàng)目要求。
?采取措施保護(hù)您的基礎(chǔ)架構(gòu)。安全性不僅對(duì)您的最終產(chǎn)品很重要，而且對(duì)您公司的程序和政策也很重要。確保您從整體上考慮安全性，并從上到下促進(jìn)安全文化。
?持續(xù)監(jiān)控和實(shí)施軟件安全合規(guī)性。將安全工具（如SAST、DAST和SCA）集成到DevSecOps管道中，以便在整個(gè)開(kāi)發(fā)生命周期中主動(dòng)跟蹤和實(shí)施安全性。

選擇Perforce工具以確保項(xiàng)目成功
Klocwork SAST for C,C++,C#,Java,JavaScript,Python,and Kotlin 可識(shí)別安全性、質(zhì)量和可靠性問(wèn)題。這有助于強(qiáng)制遵守編碼標(biāo)準(zhǔn)，以確保您的代碼免受安全漏洞的影響。Klocwork旨在輕松擴(kuò)展到任何規(guī)模的項(xiàng)目，使您能夠在編寫(xiě)代碼時(shí)自動(dòng)進(jìn)行源代碼分析。

此外，Klocwork的差異分析使您能夠僅對(duì)已更改的文件執(zhí)行快速增量分析 ，同時(shí)提供與完整項(xiàng)目掃描結(jié)果相同的結(jié)果。這確保了盡可能短的分析時(shí)間。

通過(guò)使用Klocwork，您還將獲得以下好處：
?在開(kāi)發(fā)早期檢測(cè)代碼漏洞、合規(guī)性問(wèn)題和規(guī)則沖突。這有助于加快代碼審查和手動(dòng)測(cè)試工作。
?執(zhí)行行業(yè)和編碼標(biāo)準(zhǔn)，包括CWE、CERT、OWASP和DISA STIG。
?報(bào)告一段時(shí)間內(nèi)和跨產(chǎn)品版本的合規(guī)性。

了解 Klocwork 如何幫助確保您的下一個(gè)項(xiàng)目取得成功。注冊(cè)免費(fèi)試用版。