软件开发人员标准安全测试即将出台

【IT专家网独家】软件开发人员需要注意了，最近一项关于软件开发人员安全知识的标准测试将会出台。

　　安全程序委员会在本周早些时候建议建立一个标准测试检验软件开发人员在程序安全设计方面的知识。这一建议的目的是为了保证公司的所有软件开发人员，不管是公司内部的还是外包人员都能在程序设计方面拥有基本的安全知识。

　　目前，该委员会已经发布了"Java/JavaEE程序开发人员的必备安全常识"，包括最早的六条标准。之后还会陆续发布一些测试来检验使用C and C++, Net, PHP和PERL语言的开发人员安全常识。

　　这一标准在接下来的60天将会接受公众的建议。

　　一些提到的领域包括，数据处理，认证还有session管理以及访问控制。例如，在数据管理任务之下Java程序员编写的程序必须是从操作界面读取存入，然后确认数据，最后就是发布数据。还有程序开发人员必须对一些恶意攻击场景熟悉，譬如跨站脚本或是SQL注入式攻击。

　　实施这一能力测试的目的不仅仅是让开发人员知道什么是加密，还有就是让他们对PKI (Public Key Infrastructure 公钥基础设施)和其它的加密形式之间的区别有一个清醒的认识，安全程序委员会的Ryan Berg说道。

　　SANS研究中心的主管Alan Paller表示，目前，有超过40家的企业，政府机关和安全企业参与了这一标准的制定，主要是来自于金融机构，制造业，航空业，军队还有外包企业。

　　"一家知名的金融机构在八月的时候就已经要求其公司的开发人员必须通过该测试，否则不会让他接触任何代码的开发。"Paller说，"这家公司过去有过太多惨痛的教训。"

　　SANS负责管理这一测试，12月5号已经在伦敦开始测试，在未来的8个月内将会在美国和欧洲推广。

　　这一测试不需要你带HB铅笔，但是测试费用从50到450美元不等，因为测试人员既有在校大学生还有一些公司的雇员。