Web安全系列选题之 敏捷开发需事先内置

核心提示：云计算等新型应用模式的出现，促使更多的应用程序运行着互联网上，Web安全系列选题之 敏捷开发需事先内置，基于web应用程序可谓是随处可见，这无疑对应用程序的安全性是个巨大考验，而不是最后扩充上去，如果使用敏捷开发方法，敏捷（Agile）开发日渐流行，很多开发者都采用安全功能事后补充是这种开发方式

云计算等新型应用模式的出现，促使更多的应用程序运行着互联网上，基于web应用程序可谓是随处可见。这无疑对应用程序的安全性是个巨大考验。

敏捷（Agile）开发日渐流行，很多开发者都采用安全功能事后补充是这种开发方式，无疑为未来的应用程序埋下了安全隐患。安全性必须是应用程序开发方法当中一个不可或缺的部分，敏捷开发流程也不例外。

应用程序安全性已成为所有软件开发项目的一个关键部分。它包括在整个软件开发生命周期中采取的所有措施，旨在防止程序缺陷被人利用。在应用程序的需求征集、设计、开发、部署、升级或维护等阶段逐渐出现的众多缺陷成了网络攻击的基础。

由于应用程序缺乏固有的安全性，加上编程方法很糟糕，应用程序经常被黑客们钻空子，并且帮助导致了数据泄密及知识产权失窃引起的重大经济损失。这就是为什么安全性必须是应用程序开发方法当中一个不可或缺的部分，敏捷（Agile）开发流程也不例外。

据说敏捷开发流程早在2001年11月就问世了。近些年来，这种软件开发方法日渐流行。敏捷开发流程致力于把程序开发与客户需求和公司目标统一起来的迭代发现和开发。

尽管如此，笔者还是发现，敏捷开发的基本特点往往决定了直到业务功能建成后才考虑安全问题。许多时候，安全不是事先添加到最初发布的功能中，因而使敏捷应用程序的安全功能成了事后扩充（bolted on）的，而不是事先内置（built in）的。

我在分析应用程序安全问题时，往往把它们分成两类：业务逻辑缺陷和技术安全漏洞。大家已认识到，安全必须事先内置到应用程序当中，而不是最后扩充上去。如果使用敏捷开发方法，这就带来了难题。

这还引发了颇有意义的争论：敏捷开发是否适用于涉及敏感安全信息的应用程序？或者是否适用于为进入其他系统提供秘密通道（即后门）的应用程序？