Bezpečný software nevznikne sám od sebe. Je třeba, aby se v celé organizaci konzistentně využívaly metodiky, které odpovídají stanoveným zásadám, cílům a principům. Cílem je vytvořit bezpečný kód: Společnost Oracle vyžaduje, aby byly při veškerém vývoji dodržovány principy tvorby bezpečného kódu, které byly stanoveny, ohlášeny a důkladně vysvětleny zaměstnancům na školení.

Zajištění vysokého zabezpečení softwaru v celé organizaci

Společnost Oracle zavedla formální standardy tvorby bezpečného kódu, které mají zajistit, aby byly produkty Oracle vyvíjeny s konzistentně vysokou úrovní zajištění zabezpečení, a pomoci vývojářům vyvarovat se běžných chyb, jež vedou k chybám v kódu.

Standardy tvorby bezpečného kódu společnosti Oracle představují plán postupu a návod, který pomůže vývojářům vytvářet bezpečný kód. Jsou v nich uvedeny obecné informace o zabezpečení, jako jsou principy návrhu, běžně se vyskytující zranitelnosti a podobně, a konkrétní rady v oblastech jako ověřování dat, ochrana osobních údajů, CGI, správa uživatelů a další.

Všichni vývojáři ve společnosti Oracle musejí tyto standardy znát a používat je při návrhu a tvorbě produktů. Standardy tvorby kódu vznikaly řadu let a spojují v sobě osvědčené postupy i poznatky získané z průběžného testování zranitelností prováděného interním týmem hodnocení produktů společnosti Oracle. Společnost Oracle vyžaduje, aby vývojáři absolvovali školení k bezpečnému kódu. Zajistí tak, že budou všichni znát standardy tvorby kódu. Standardy tvorby bezpečného kódu jsou klíčovou součástí zajištění zabezpečení Oracle Software Security Assurance a jejich dodržování je hodnoceno a ověřováno po celou dobu životnosti všech produktů Oracle.

Dynamická povaha standardů tvorby bezpečného kódu

Standardy tvorby bezpečného kódu společnosti Oracle se postupem času vyvíjejí a rozšiřují, takže řeší nejběžnější problémy, které mohou kód společnosti Oracle postihnout, odrážejí získané poznatky, nově odhalené hrozby a nové případy užití zákazníky společnosti Oracle. Standardy tvorby bezpečného kódu neexistují izolovaně ani nejsou zpětně přidaným doplňkem k vývoji softwaru. Jsou nedílnou součástí standardů jazyků C/C++, Javu, PL/SQL a dalších jazyků a klíčovým základním prvkem programů a procesů Oracle’s Software Security Assurance.

Význam školení vývojářů

V průběhu let společnost Oracle připravila interní školení založené na standardech tvorby bezpečného kódu. Společnost Oracle toto školení pravidelně poskytuje zaměstnancům v organizaci zabývajícím se vývojem produktů, jako jsou vývojáři, produktoví manažeři, pracovníci řízení změn a vydání a pracovníci kontroly kvality. Školení se netýká jen jednotlivců, kteří se podílejí na tvorbě kódu, kurzy o bezpečném kódu musejí absolvovat i manažeři až na úroveň viceprezidentů. Díky tomuto neustálému vzdělávání tak vývojáři znají všechny aspekty tvorby bezpečného kódu a vědí, že společnost Oracle klade vysoké požadavky na vývoj kvalitních produktů.