Berg:我喜欢BSIMM的唯一原因是其实它并不是一个模式。BSIMM概述了一些公司正在做的事情。我们可以从中得到顶尖公司共同在做事情的相关数据统计。BSIMM不会告诉你该做什么或不应该做什么,它只是告诉你这些顶尖的软件公司在做什么。微软的SDL就是围绕微软做的工作而设计的。微软有自己开发的一些应用程序。最初的SDL主要集中在他们的操作系统中:如封装和套装软件。如果你不打算开发这种软件,也许这种模式并不一定合适。但是,这并不意味着你不能使用这种模式或者这种模式中的一些模块。要完成一个大项目,你就应该要有一个模式。如果没有,你就是做无用功。
根据目前您了解到的信息,大部分公司的大体模式是正确的吗?这些公司有没有意识到这个问题,并着手建立更好的软件开发流程呢?
Berg:这取决于市场的需求。有些纵向市场,像金融市场,处处充满风险。在安全应用开发问题上,他们始终走在前列。他们有风险管理人、安全工程师,还有一个安全项目。大多数金融组织都设有这些职位。但在美国之外的其他国家就不同了。美国的金融公司走在其他国家的金融组织之前。有一部分原因就在于美国的规章制度。毋庸置疑,PCI对金融市场起到决定性和强制性的作用。金融服务业之后就是零售业。PCI和金融服务业一同向零售业施压。如果你接触独立软件制造商,他们只会敷衍了事。大规模的独立软件制造商很有优势,一旦你跻身财富1000强,利益就多了。除非有重大事情发生,大多数的时候他们并没有真正在做什么。
其中一些改变是根据用户的要求进行的吗?是否需要监管来改善小规模的独立软件制造商的软件安全性?
Berg:我不希望看到有更多的规则条例出现。大家都知道条规并不总能保证事情朝正确的方向发展,人们只会循规蹈矩,用最少的工作来达到其中的要求。我更希望看到的是,有更多的软件用户与软件制造商互动起来。现在这种情况越来越多了。具有购买能力的大客户在他们定购的软件的安全问题上有更多的发言权。如果你拥有财富500强或者财富1000强那样的购买力,那么你就可以提出具体的要求,对软件的开发方式也有一定的决定权。
相关阅读