10.6  漏洞防护

不断爆发的安全事件和安全漏洞，使很多研发人员知道他们必须在开发过程中考虑安全因素，但由于缺乏安全知识，他们不知道具体需要做什么。为了解决日益增加的事件和漏洞问题，业界普遍认为必须采取相应的措施，从源头进行有效的安全控制，即必须在软件开发阶段就避免引入软件漏洞。这要求研发人员了解如何在编码阶段编写安全的代码。根据Gartner的数据统计，75%的黑客攻击发生在应用层，防护占比75%的应用攻击，仅需花费占比10%的投资，而防护占比25%的网络攻击，却要花费占比90%的投资，如图10-17所示。

图10-17 安全攻击比例和花费对比图

由此可见，安全编码是系统安全建设工作的重点内容之一。在本书第4章中介绍了安全编码规范，在第5章中介绍了源代码安全审核方法，但是要想有效避免引入软件漏洞，研发人员必须了解这些漏洞的产生原理和防护机制。