淺談網(wǎng)絡(luò)安全體系下的軟件安全開發(fā)人才培養(yǎng)

王頡 王厚奎 鄭明 萬(wàn)振華

摘? ?要：軟件安全開發(fā)是近年來(lái)我國(guó)網(wǎng)信行業(yè)積極實(shí)踐的網(wǎng)絡(luò)安全保障措施，旨在軟件系統(tǒng)開發(fā)過(guò)程中降低安全漏洞的存在。然而，軟件安全開發(fā)人才匱乏是當(dāng)前實(shí)踐面臨的關(guān)鍵問(wèn)題。文章依據(jù)行業(yè)有關(guān)軟件安全開發(fā)人員崗位和技能的典型要求，介紹在當(dāng)前網(wǎng)絡(luò)安全體系下培養(yǎng)軟件安全開發(fā)人才的關(guān)鍵思路和核心內(nèi)容，最后說(shuō)明在軟件安全開發(fā)人才培養(yǎng)方面獲得的初步成效。

關(guān)鍵詞：軟件安全開發(fā);軟件安全開發(fā)生命周期;人才培養(yǎng)

Abstract： In recent years， software secure development is actively practiced in China's network and information industry as a network security assurance method. It is aiming to reduce the existence of security vulnerabilities in the software development process. However， the shortage of secure software developer is the vital problem for practices. According to the typical requirements of software secure developers' job positions and skill requirements from the industry， this paper presents the key ideas and core contents of software secure development talent cultivation under the circumstances network security system， then， we describes the initially obtained results.

Key words： software secure development; secure software development lifecycle; talent cultivation

1 引言

近年來(lái)，隨著國(guó)家對(duì)網(wǎng)絡(luò)安全的高度重視，軟件開發(fā)過(guò)程中的安全保障正成為網(wǎng)信行業(yè)關(guān)注的熱點(diǎn)。在2019年12月1日正式實(shí)施的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例2.0》中，對(duì)軟件“自行開發(fā)”和“外包開發(fā)”也提出了明確的安全要求。作為軟件開發(fā)過(guò)程中安全保障的行業(yè)最佳實(shí)踐流程，“軟件安全開發(fā)生命周期（S-SDLC或SDL）”正逐漸被我國(guó)金融、能源、互聯(lián)網(wǎng)等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)實(shí)踐。通過(guò)S-SDLC，相關(guān)單位能夠在軟件系統(tǒng)開發(fā)過(guò)程中管控軟件研發(fā)流程、減少軟件安全漏洞、降低軟件安全威脅，從而提升軟件質(zhì)量，并能夠大幅地降低因軟件系統(tǒng)漏洞被黑客利用而造成網(wǎng)絡(luò)安全事件發(fā)生的可能性。

為了做好S-SDLC的落地實(shí)踐，相關(guān)單位往往需要從軟件安全開發(fā)的制度要求、開發(fā)流程、工具配置和人員配備等多方面做好保障工作。然而，普遍現(xiàn)象是軟件開發(fā)人員缺乏軟件安全開發(fā)技能，網(wǎng)絡(luò)安全人員不參與軟件開發(fā)過(guò)程，大部分單位不具備專業(yè)的軟件安全開發(fā)人員。

目前，我國(guó)網(wǎng)絡(luò)安全人才缺口數(shù)量巨大，據(jù)不完全統(tǒng)計(jì)，2020年我國(guó)需要各類網(wǎng)絡(luò)空間安全人才約140萬(wàn)人[1]。職業(yè)培訓(xùn)已成為保障網(wǎng)絡(luò)安全人才隊(duì)伍能力的重要手段[2]，而在高校教育方面，為滿足市場(chǎng)用人的需求，網(wǎng)絡(luò)安全人才培養(yǎng)正在從基礎(chǔ)知識(shí)學(xué)習(xí)型向?qū)嵱眯蚚3]、實(shí)戰(zhàn)型[4]轉(zhuǎn)型。軟件安全開發(fā)作為網(wǎng)絡(luò)安全體系下的一個(gè)細(xì)分領(lǐng)域，是網(wǎng)絡(luò)安全專業(yè)與軟件工程專業(yè)的交叉，尚未成為專門的專業(yè)或課程在我國(guó)高校內(nèi)普及。部分對(duì)軟件安全逐漸重視的高校，主要通過(guò)培養(yǎng)軟件漏洞挖掘、惡意代碼分析人才作為軟件安全人才[5]，而不是培養(yǎng)能在軟件開發(fā)過(guò)程中主動(dòng)保障軟件安全的軟件安全開發(fā)人才。因此，我國(guó)網(wǎng)信行業(yè)對(duì)網(wǎng)絡(luò)安全體系下的軟件安全開發(fā)人才建設(shè)提出了新的要求，迫切需要培養(yǎng)軟件安全開發(fā)人才，促進(jìn)我國(guó)網(wǎng)絡(luò)安全體系發(fā)展。

本文結(jié)合國(guó)內(nèi)網(wǎng)信行業(yè)對(duì)軟件安全開發(fā)人才的實(shí)際需求，分析了當(dāng)前軟件安全開發(fā)人才需具備的主要專業(yè)知識(shí)和技能，并提出了軟件安全開發(fā)人才培養(yǎng)的思路和核心內(nèi)容。

2 對(duì)軟件安全開發(fā)的認(rèn)知

軟件安全開發(fā)的思路是在軟件開發(fā)生命周期各階段采取必要的安全考慮和相應(yīng)的安全措施，盡管不能完全杜絕所有的安全漏洞，也可以做到避免和減少大部分常見(jiàn)安全漏洞[6]。該思路有助于在各類信息技術(shù)產(chǎn)品研發(fā)過(guò)程中為網(wǎng)絡(luò)安全保障起到關(guān)鍵作用。

軟件安全開發(fā)方法繼承了系統(tǒng)安全工程的思想[7]，以提高軟件產(chǎn)品的本質(zhì)安全為目標(biāo)，通過(guò)在軟件開發(fā)生命周期的各個(gè)階段融合安全標(biāo)準(zhǔn)、安全流程、安全工具和具備能力的軟件安全開發(fā)人員，防止因設(shè)計(jì)、開發(fā)、發(fā)布、升級(jí)或維護(hù)過(guò)程中的缺陷而產(chǎn)生不該有的軟件漏洞或脆弱性，也可防止由不同軟件之間相互集成而產(chǎn)生的軟件供應(yīng)鏈安全問(wèn)題[8]。

3 對(duì)軟件安全開發(fā)人才的典型要求

3.1 軟件安全開發(fā)崗位行業(yè)需求

根據(jù)近年網(wǎng)信行業(yè)對(duì)軟件安全開發(fā)崗位的招聘需求，軟件安全開發(fā)人才主要從事五個(gè)方向的工作。

（1）SDL流程建設(shè)：主要負(fù)責(zé)推進(jìn)企業(yè)SDL體系建設(shè)的規(guī)劃與落地，并參與軟件的安全開發(fā)保障工作。

（2）安全架構(gòu)設(shè)計(jì)：主要負(fù)責(zé)對(duì)軟件建立威脅模型，從安全角度設(shè)計(jì)和評(píng)審軟件架構(gòu)。

（3）軟件代碼審計(jì)：主要負(fù)責(zé)對(duì)軟件源代碼進(jìn)行審計(jì)，識(shí)別軟件程序代碼中的安全缺陷。

（4）軟件安全測(cè)試：主要負(fù)責(zé)對(duì)軟件進(jìn)行黑盒、灰盒或其他技術(shù)方面的安全測(cè)試，檢測(cè)軟件存在的安全缺陷。

（5）人員培訓(xùn)：負(fù)責(zé)定期對(duì)公司員工進(jìn)行軟件安全開發(fā)方面的培訓(xùn)，包括：安全意識(shí)、安全編碼等內(nèi)容。

3.2 對(duì)軟件安全開發(fā)人才的綜合要求

結(jié)合軟件安全開發(fā)崗位信息和行業(yè)中的實(shí)際情況，軟件安全開發(fā)人才需要掌握或具備的意識(shí)和技能如圖1所示。

（1）開發(fā)技能指軟件安全開發(fā)人員熟悉某種主流開發(fā)語(yǔ)言，了解相關(guān)的開發(fā)框架、構(gòu)建工具、配置管理工具，并理解CI/CD、DevOps、DevSecOps理論和機(jī)制。

（2）軟件安全開發(fā)意識(shí)是指軟件安全開發(fā)人員在軟件開發(fā)活動(dòng)中為保障軟件安全所具備的思想意識(shí)。

（3）軟件安全開發(fā)技能指軟件安全開發(fā)人員在軟件開發(fā)活動(dòng)中應(yīng)掌握和應(yīng)用的安全開發(fā)技能，包括避免代碼安全風(fēng)險(xiǎn)的程序編碼和代碼審計(jì)技術(shù)、基于安全需求和安全架構(gòu)的安全測(cè)試等。

（4）軟技能指軟件安全開發(fā)人員具備良好的溝通表達(dá)能力、學(xué)習(xí)能力、團(tuán)隊(duì)協(xié)作精神，并具有項(xiàng)目管理經(jīng)驗(yàn)。

4 軟件安全開發(fā)人才培養(yǎng)的核心內(nèi)容

4.1 人才培養(yǎng)的思路

開發(fā)技能和軟技能是軟件安全開發(fā)人才培養(yǎng)的根基，通?？梢栽趯W(xué)歷教育和工作實(shí)習(xí)過(guò)程中初步獲得并逐步掌握。而作為軟件安全開發(fā)人才培養(yǎng)的核心內(nèi)容，軟件安全開發(fā)意識(shí)和技能在大部分學(xué)歷教育中缺失。因此，軟件安全開發(fā)人才培養(yǎng)需要在實(shí)際工作、職業(yè)教育或?qū)W歷教育輔助的學(xué)習(xí)過(guò)程中重點(diǎn)培養(yǎng)。

4.2 軟件安全開發(fā)意識(shí)培養(yǎng)

軟件安全開發(fā)意識(shí)培養(yǎng)的主要涉及五方面內(nèi)容。

（1）軟件安全開發(fā)與網(wǎng)絡(luò)安全之間的關(guān)系和影響，讓軟件開發(fā)人員明確認(rèn)識(shí)到“因軟件開發(fā)過(guò)程中錯(cuò)誤開發(fā)行為而形成的各類軟件缺陷或錯(cuò)誤，是造成網(wǎng)絡(luò)安全事件發(fā)生的重要前提條件之一”。

（2）常見(jiàn)的軟件安全風(fēng)險(xiǎn)[9]和軟件安全錯(cuò)誤[10]，如注入、XSS、CSRF、不恰當(dāng)?shù)纳矸蒡?yàn)證、使用硬編碼憑據(jù)等，了解開發(fā)過(guò)程中造成這些風(fēng)險(xiǎn)和錯(cuò)誤的原因和正確編碼思路。

（3）正確的軟件安全設(shè)計(jì)方法[11，12]，如使用安全框架和庫(kù)、安全的數(shù)據(jù)庫(kù)訪問(wèn)、驗(yàn)證所有輸入、處理所有錯(cuò)誤和異常等，避免在軟件設(shè)計(jì)過(guò)程中的錯(cuò)誤安全設(shè)計(jì)。

（4）軟件安全開發(fā)生命周期流程，對(duì)整個(gè)流程體系及其關(guān)鍵實(shí)踐[7，13]的認(rèn)識(shí)。

（5）法律法規(guī)和標(biāo)準(zhǔn)規(guī)范，包括《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》《ISO 27001》等。特別是在《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》[14]中，第二至第四級(jí)的“安全建設(shè)管理”部分對(duì)自行軟件開發(fā)和外包軟件開發(fā)提出了明確安全要求。

針對(duì)軟件研發(fā)企業(yè)的安全開發(fā)意識(shí)培養(yǎng)，可將上述內(nèi)容作為企業(yè)軟件安全開發(fā)能力建設(shè)的重要組成部分，并結(jié)合企業(yè)的內(nèi)部培訓(xùn)舉措和網(wǎng)絡(luò)安全文化建設(shè)（如企業(yè)內(nèi)部的網(wǎng)安宣傳周、軟件安全開發(fā)大賽），提高開發(fā)人員的軟件安全開發(fā)意識(shí)，促進(jìn)開發(fā)人員在軟件研發(fā)過(guò)程中保障軟件安全。

4.3 軟件安全開發(fā)技能培養(yǎng)

軟件安全開發(fā)技能培養(yǎng)的主要涉及四方面內(nèi)容。

（1）安全架構(gòu)設(shè)計(jì)技能。掌握威脅建模的方法，能通過(guò)威脅建模分析軟件的安全威脅及對(duì)應(yīng)的安全措施，作為后續(xù)安全實(shí)踐的依據(jù);同時(shí)，掌握行業(yè)主流軟件成分分析工具的操作方法，能分析、定位軟件架構(gòu)中自帶有安全缺陷的第三方組件或開源組件。

（2）安全編碼技能。理解主流開發(fā)語(yǔ)言的安全編碼規(guī)范，并能在編碼過(guò)程中遵循安全編碼規(guī)范的要求。

（3）代碼審計(jì)技能。掌握行業(yè)主流代碼審計(jì)自動(dòng)化工具的操作方法，能將代碼審計(jì)自動(dòng)化工具的審計(jì)規(guī)則與安全編碼規(guī)范進(jìn)行匹配，在軟件開發(fā)過(guò)程的編碼、測(cè)試階段實(shí)現(xiàn)對(duì)代碼的白盒安全檢測(cè)，并能基于檢測(cè)結(jié)果開展結(jié)果分析與缺陷修復(fù)。

（4）安全測(cè)試技能。掌握行業(yè)主流灰盒、黑盒或模糊安全測(cè)試自動(dòng)化工具的操作方法，在軟件開發(fā)過(guò)程的測(cè)試階段識(shí)別軟件的代碼級(jí)或功能級(jí)安全風(fēng)險(xiǎn)和安全缺陷，并能基于檢測(cè)結(jié)果開展結(jié)果分析與缺陷修復(fù)。

通過(guò)讓軟件研發(fā)企業(yè)不同角色的開發(fā)人員具備相應(yīng)的技能，確保開發(fā)人員在各自負(fù)責(zé)的開發(fā)任務(wù)中落實(shí)安全開發(fā)要求，并能與開發(fā)團(tuán)隊(duì)中的其他角色聯(lián)動(dòng)與配合，實(shí)現(xiàn)安全需求和安全設(shè)計(jì)的成果與要求貫穿于整個(gè)軟件安全開發(fā)生命周期，并通過(guò)安全編碼和安全測(cè)試進(jìn)一步驗(yàn)證和落地。

5 培養(yǎng)效果

本文研究團(tuán)隊(duì)自2016年起開展軟件安全開發(fā)課程的建設(shè)和授課工作，結(jié)合自身經(jīng)驗(yàn)，以軟件開發(fā)和網(wǎng)絡(luò)安全從業(yè)人員和專業(yè)學(xué)生為對(duì)象，提出了“意識(shí)+技能”的軟件安全開發(fā)課程體系。根據(jù)不同企業(yè)的需求和高校的特點(diǎn)，為國(guó)內(nèi)金融、通訊、IT、地產(chǎn)等行業(yè)的多家企業(yè)和華南、華中、華西多所高校提供了不同級(jí)別的軟件安全開發(fā)人才培養(yǎng)服務(wù)，累計(jì)授課超千人，為企業(yè)落地實(shí)踐軟件安全開發(fā)提供了間接參考。

6 結(jié)束語(yǔ)

軟件安全開發(fā)人才培養(yǎng)是一個(gè)多理念、多技術(shù)、多角色相融合的系統(tǒng)性工程，培養(yǎng)的內(nèi)容和方法也將隨著軟件開發(fā)、網(wǎng)絡(luò)安全及相關(guān)技術(shù)與政策的發(fā)展而不斷擴(kuò)展和改變。目前，軟件安全開發(fā)被普遍認(rèn)為是網(wǎng)絡(luò)安全體系下的細(xì)分領(lǐng)域，但是軟件安全開發(fā)領(lǐng)域的人才培養(yǎng)較網(wǎng)絡(luò)安全人才培養(yǎng)而言更加任重而道遠(yuǎn)。因此，需要我國(guó)主管部門、用人單位、高等院校和軟件安全開發(fā)技術(shù)提供單位的積極推進(jìn)和共同建設(shè)，不斷普及、不斷擴(kuò)展、不斷累積，逐步形成普及性的軟件安全開發(fā)人才培養(yǎng)體系。

參考文獻(xiàn)

[1] 李建華.李建華：網(wǎng)絡(luò)空間安全人才培養(yǎng)發(fā)展戰(zhàn)略思考[J].河南科技， 2016（11）.

[2] 位華，王星.網(wǎng)絡(luò)空間安全人才職業(yè)培訓(xùn)的實(shí)踐與探索[J].中國(guó)信息安全，2018（12）：62-65.

[3] 樊佳，李陽(yáng)，楊學(xué)敏.建立網(wǎng)絡(luò)信息安全實(shí)用型人才培養(yǎng)模式[J].信息安全研究，2018（12）：1127-1129.

[4] 張鎮(zhèn)，賀新朋.實(shí)戰(zhàn)型安全人才培養(yǎng)框架設(shè)計(jì)[J].信息安全研究， 2018（12）：1119-1123.

[5] 趙磊，彭國(guó)軍，劉丹，王麗娜.網(wǎng)絡(luò)攻防賽導(dǎo)向的軟件安全課程創(chuàng)新性與實(shí)踐性建設(shè)[J].計(jì)算機(jī)教育，2019（7）：163-167.

[6] 吳世忠，李斌，張曉菲，梁洪亮.軟件安全開發(fā)[M].北京： 機(jī)械工業(yè)出版社，2016.

[7] 宋明秋. 軟件安全開發(fā)—屬性驅(qū)動(dòng)模式[M]. 北京： 電子工業(yè)出版社，2016.

[8] 王頡，萬(wàn)振華，王厚奎.從軟件安全開發(fā)生命周期實(shí)踐的角度保障軟件供應(yīng)鏈安全[J].網(wǎng)絡(luò)空間安全，2019（6）： 19-24.

[9] OWASP. OWASP Top 10 [EB/OL]. https：//owasp.org/www-project-top-ten/.

[10] SANS. CWE/SANS TOP 25 Most Dangerous Software Errors [EB/OL]. https：//www.sans.org/top25-software-errors.

[11] OWASP. OWASP ProActive Controls [EB/OL]. https：//owasp.org/www-project-proactive-controls.

[12] IEEE Center for Secure Design. Avoiding the Top 10 Software Security Design Flaws [EB/OL]. https：//ieeecs-media.computer.org/media/technical-activities/CYBSI/docs/Top-10-Flaws.pdf

[13] Microsoft. Microsoft Security Development Lifecycle [EB/OL]. https：//www.microsoft.com/en-us/securityengineering/sdl/.

[14] GBT 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].2019.