将安全开发过程扩展到云和大数据

Chinese text: Extend your security development process to cloud and big data

　　简介： 云计算和大数据正在改变着企业。了解必须将这些新技术融入您的安全开发流程的原因，并了解什么是安全开发流程、云计算和大数据技术的组成部分，以及它们存在哪些应用程序安全风险和如何减轻这些风险。

　　2012 年有关应用程序安全状态的 Ponemon Institute 报告（参阅 参考资料）表明，71％的开发人员认为安全性在软件开发生命周期中没有得到充分重视。这种说法令人非常困惑，因为各个组织现在已经在他们的安全系统开发生命周期 (SDLC) 中引入了新技术。这些新技术（即云计算和大数据）将进一步增强组织的安全开发流程（如果组织有这样的流程）。

本文从应用安全的角度出发，总结了云计算和大数据、它们的缺陷和不足，并介绍了如何使用安全的SDLC过程在这些平台上安全地开发应用程序。

　　安全开发入门

要将云和大数据引入安全的SDLC流程，必须首先将安全性引入组织的SDLC并始终遵循。 SDLC是一个开发过程，侧重于开发高质量软件的五个阶段：需求，设计，开发，测试和实施。组织必须在流程的每个阶段引入安全性。是否使用特定的流程模型，如Microsoft的安全开发生命周期（SDL;请参见图1）或（ISC）最佳实践（参见图2），利用开放式Web应用程序安全项目（OWASP）最佳实践，或者引入自定义框架来实现这一点，SDLC现在是开发团队的必要条件。

Figure 1. Microsoft's SDL process

图2.中安全编码(ISC)的最佳实践。

　　云计算入门

除了了解安全SDLC流程之外，组织还需要了解云计算是什么以及云计算如何帮助组织实现规模经济，并使组织重新定位到组织的核心竞争力。如果您愿意，还可以使用云计算重塑旧的应用程序服务提供商（ASP）模型。但是，真正的云计算产品在ASP模式中存在一些细微差别，即资源池，按需功能，多租户和快速弹性方面存在细微差别。这些功能意味着在使用云计算时，您可以通过将固定资本支出（CapEx）转换为可变运营支出（OpEx）来实现规模经济。

国家标准技术研究所（NIST）通过建立云服务模式和云部署模式，进一步定义了云计算是什么。