Oprogramowanie samo się nie zabezpieczy. Wymaga spójnych działań w ramach całej organizacji, w tym stosowania metod zgodnych z obowiązującymi zasadami i celami. Celem tych działań jest przygotowanie bezpiecznego kodu źródłowego: Oracle wymaga, aby cały proces tworzenia oprogramowania musi być zgodny ze spisanymi zasadami bezpiecznego kodowania, które zostały przekazane zainteresowanym stronom i utrwalone na szkoleniach.

Zapewnienie wysokiego stopnia bezpieczeństwa na wszystkich szczeblach

Aby zapewnić, że wszystkie produkty Oracle są tworzone z zachowaniem wysokich standardów zabezpieczeń bez korzystania z typowych niezabezpieczonych metod kodowania, cały ten proces został w Oracle sformalizowany.

Standardy bezpiecznego kodowania Oracle to zestaw stosownych wytycznych i wskazówek dla deweloperów. Dotyczą one ogólnej wiedzy z zakresu bezpieczeństwa, w tym zasad projektowania i często występujących luk w zabezpieczeniach, oraz zawierają wskazówki dotyczące metod uwierzytelniania danych, ochrony prywatności danych, CGI, zarządzania użytkownikami itp.

Wszyscy deweloperzy Oracle muszą znać te standardy i stosować je w swojej pracy. Standardy te kształtowały się na przestrzeni wielu lat, a ich bazą są najlepsze praktyki i wnioski wyciągnięte z testów luk w zabezpieczeniach prowadzonych przez wewnętrzny zespół Oracle zajmujący się oceną produktów. Deweloperzy Oracle muszą ukończyć stosowne szkolenia dotyczące standardów bezpiecznego kodowania. Standardy bezpiecznego kodowania to kluczowy element metodyki Oracle Software Security Assurance, a ich przestrzeganie jest oceniane i weryfikowane w całym cyklu eksploatacji produktów Oracle.

Dynamiczny charakter standardów bezpiecznego kodowania

Z czasem standardy bezpiecznego kodowania Oracle ewoluowały i rozwinęły się, aby uwzględnić najczęstsze problemy dotyczące kodu produktów Oracle, wyniki analiz, nowe zagrożenia oraz nowe zastosowania produktów Oracle. Standardy te nie funkcjonują w próżni ani nie są dodatkiem post factum do tworzonego oprogramowania. Są one częścią standardów dotyczących poszczególnych języków programowania (C/C++, Java, PL/SQL itp.), a także najważniejszym elementem programów i procesów metodyki Oracle Software Security Assurance.

Znaczenie szkoleń dla deweloperów

Na przestrzeni lat w Oracle stworzono system wewnętrznych szkoleń opartych na standardach bezpiecznego kodowania. Oracle regularnie szkoli tam swoich deweloperów oraz osoby zajmujące się zarządzaniem produktami i wersjami oraz zapewnieniem jakości. Szkolenia te nie ograniczają się jedynie do osób zaangażowanych w tworzenie produktów; muszą je również ukończyć członkowie kierownictwa Oracle do szczebla wiceprezesa włącznie. Ten ciągły proces edukacyjny ma zagwarantować, że deweloperzy znają wszystkie aspekty bezpiecznego kodowania oraz rozumieją, że Oracle przestrzega wysokich standardów tworzenia produktów.