چکیده:
سازمانها و شرکتهای تولیدکننده نرمافزار، به منظور کشف بیشترین تعداد مشکلات امنیتی نرمافزار تولید شده در یک پروژه، باید ابزار پویش امنیت را در چرخه حیات تولید نرمافزار جای دهند. از سویی دیگر نیز لحاظ این مهم در نرم افزار های اسلامی بیش از پیش احساس و به تبیین آن در این مقوله تاکید می شود.
خلاصه ماشینی:
گرچه تحقیقی با این جزییات در مورد نرمافزارهای ابرسازمانی (Enterprise )که توسط خود سازمانها تولید یا برونسپاری (Outsource) شدهاند در دست نیست، ولی توافق همگانی بر این است که هر چه نقیصههای نرمافزار در مراحل آغازین تولید آن کشف و رفع شود، هزینه نهایی تولید کمتر خواهد بود.
بنابراین، حتی با وجود مرور همتا بسیاری از آسیبپذیریهای حساس امنیتی و خطاهای طراحی نادیده گرفته خواهد شد، مگر این که مرور همتا دقیقا برای کشف خطاهای امنیتی کد انجام شود و فردی که این امر را به عهده دارد از درکی عمیق نسبت به امنیت نرمافزار کاربردی برخوردار باشد.
در این مدل، برنامهنویسان باید دانشی کافی از امنیت داشته باشند، به طوری که نه تنها نقیصههای امنیتی را بیابند، بلکه بتوانند آنها را اولویتبندی نموده، مناسبترین راه رفع آن را تشخیص داده، نسبت به رفع و تست نهایی آن نیز اقدام کنند.
مدل مستقل، برای شرکتهایی که به امر یکپارچه ساختن سیستمهای نوشته شده میپردازند و در این کار به تیم کوچکی از برنامهنویسان نیاز دارند، نیز میتواند کارساز باشد.
در این مدل، تیم برنامهنویسی باید از دانش کافی نسبت به امنیت برخوردار باشد، و تیم تضمین کیفیت صرفا پویش کد برنامه، عودت نتایج به گروه تولید و وظایف مربوط به پیکربندی تحلیل و زمانبندی انجام کار را به عهده میگیرد.
اشکال اساسی این مدل در اولویتبندی مسئولیت برنامهنویسان است (همان طور که این امر در مورد مدل مستقل نیز صدق میکند) و شامل دوبارهکاری و نبود دانش کافی در زمینه امنیت و اطلاع از معماری کامل نرمافزار در بین برنامهنویسان میباشد.