Veracode公司联合创始人兼首席技术官ChrisWysopal表示，企业和中小企业需要对开发人员进行安全基础培训，解决遗留代码问题，为整个软件开发计划建立基础，但是启动应用安全并不是简单的工作。在SearchSecurity.com的采访中，Wysopal解释了对开发人员进行应用安全培训的重要性，以及企业应如何让安全不仅只对高风险应用。Wysopal表示，解决遗留软件问题仍然是一个挑战，但是企业可以采取小步调，少投入，获得大回报。

　　编者按：这是采访问答的第一部分，主要探索应用安全计划的基础、威胁以及解决方案。在第二部分中，应用安全专家ChrisWysopal将讨论应用攻击和漏洞。

　　建立一个安全软件开发环境的基本要素有哪些?

　　ChrisWysopal：进行一些基本的基础培训是很重要的，至少应该对应用安全和应用安全原则进行一些介绍。一般情况下，我认为开发人员并不是很重视他们代码中与安全相关的漏洞和缺陷。仅仅知道有攻击者，他们会攻击这些漏洞和数据;他们是如何攻击的才真正重要。他们觉得其实这并不是一个很大的问题。开发人员可以利用空闲时间花一个小时学习电子课堂。所以最关键的是要对为什么要修改这些错误有一个基本的认识。

　　企业中，典型的应用安全隐患是什么?

　　Wysopal：我认为最大的安全问题是：应用安全只是特别针对风险最高的应用。企业可能有数百个高风险应用，而他们只会对其中五个考虑应用安全问题。一些开发团队会意识到应用安全问题，但其他人忽略这个问题。最终，应用安全成了只有少数人在做的特殊的事情。而事实上，应用安全是每个开发人员需要了解的事情。每个项目都在一定程度上需要应用安全。我认为最大的问题其实是认识的差距问题。

　　对于试图改善软件开发的人而言，解决企业中的遗留软件问题存在什么难度?

　　Wysopal：这是一个很大的挑战。有些人正试图制定应用安全计划;有些人则试图开发强大的软件，他们想方设法让开发人员意识到应用安全的重要性。然而这些工作都忽略了遗留软件问题。遗留软件就好像放在房间里的大象，没有人愿意处理。在新代码上编写安全代码远比回过头改造旧代码简单得多。之前的开发团队走了，资源没了，只留下老代码，坦白说，是很丑的老代码。我们不能忽略之前开发的所有应用，其中有些应用可能还会继续使用10年以上，所以我们必须保护这些应用。这的确是一个挑战。

　　现在有很多应用安全框架和模式，你有什么指导建议?

　　Wysopal：我认为对于有钱投资的成熟企业或者大型企业而言，在成熟模型中构建安全(BSIMM)是一个不错的方法。实际上，真正面临挑战的是那些还没有部署应用安全的企业。这些企业需要从非常基本的东西开始，然而，现在市面上并没有这样基础的方法。我们正在开发一种方案，旨在帮助企业从零开始部署应用安全，而不需要雇佣大的应用安全团队，也不需要做出较大的投资。开始这样做的前几天，你就能看到效果。我认为对于那些没有做出很大投入的人,这是我们指引的方向。

(责任编辑：)