为了帮助政府用户了解如何建立一套有效的软件保障体系，Fortify还在报告中提供了几个美国政府机构实施软件保障的案例研究。本月早些时候Fortify和咨询机构Cigital曾合作推出了旨在帮助企业实施软件安全的标准指南，这次推出的政府软件安全指南，则可以认为是Fortify对软件安全的市场细分行为。由于政府用户不同于一般企业用户的敏感性，笔者认为安全行业还是应该针对当前国内政府用户的软件安全情况，同时参考国外该领域的最新发展成果，制定出适合我国现状的软件安全保障体系。

另外，本周还有一个关于Fortify值得关注的安全新闻，即Fortify将其现有的软件安全产品转化成云计算平台的方式，通过服务的方式交付给最终用户。Fortify的SaaS（软件即服务）版本的软件安全解决方案，主要关注企业中第三方应用程序的安全审计，尤其是无法从软件厂商处得到源代码的应用程序的安全保障，而采取SaaS的形式进行交付，也可以帮助许多预算不足的中小企业进行安全要求不高的软件保障项目。Fortify通过SaaS方式来交付相对使用成本较高的软件安全解决方案，这个理念相当值得国内的安全厂商借鉴，再加上适合国内现状的特定应用程序审计策略，以及友好的用户操作，应该会成为国内逐渐升温的软件安全市场中的一个亮点。

开源Web应用程序安全机构OWASP本周发布了其最新的代码安全审计指南 1.1版本，旨在帮助用户对现有的Web应用程序进行代码安全审计，防止出现各种最为常见的安全漏洞，结合之前推出的Web应用开发安全指南和Web应用安全测试指南，OWASP已经为用户提供了一整套Web应用程序的安全保障体系。

随着Web应用程序在企业领域中所占的比重越来越大，Web应用程序的安全问题也逐渐成为威胁企业内部网络及系统安全的主要因素之一，不过因为Web应用程序的安全开发、测试和代码审计仍是一个非常耗费时间和人力的工作，从长远来看企业在内部培养一个专业的Web应用安全团队还是要比外包这项工作要更为有效，笔者也计划整理一下OWASP已经推出的几份Web应用安全指南，为朋友们提供对这几份文档的翻译和更进一步的相关知识整理。

推荐阅读：

1） 恶意的JavaScript如何躲避检测，推荐指数：高

许多朋友认为，只要安装了最新的反病毒软件，即使不按时应用系统更新就浏览网站也是没什么问题的，实际上这种看法是错误的，通过JavaScript加密技术，恶意的JavaScript程序能够躲过反病毒软件的检测。互联网安全组织SANS本周通过一个实例分析了JavaScript加密分析，有意思的是，作为分析对象的JavaScript加密方式很快就被黑客应用到对Twitter的攻击中。有兴趣的朋友可以在下面的链接中找到这个分析文章：

http://isc.sans.org/diary.html?storyid=6142&rss

2） IC3的2008年度网络犯罪报告；推荐指数：中

网络犯罪已经成为互联网应用的最严重威胁，并呈现每年快速上升的趋势。由美国FBI和NW3C两个政府部门共同组建的互联网犯罪防止中心IC3，于本周早些时候发布了2008年度网络犯罪报告，全面详细的介绍了2008年网络犯罪的情况。法律和安全行业的朋友可以将这个报告作为全面了解网络地下经济的材料。资料的地址如下：

http://www.nw3c.org/downloads/2008_IC3_Annual%20Report_3_27_09_small.pdf

3） 如何建立企业入侵分析体系?推荐指数：高

我们在实践中经常能遇到这样的情况，企业在购置IDS之后往往疏于管理和维护，IDS也变成企业内网中可有可无的摆设。构建一个有效的企业入侵分析体系，看来是将这些设备充分的使用起来的好办法，推荐对入侵分析感兴趣的朋友阅读一下SecurityFocus专栏文章《如何建立企业入侵体系》，文章链接如下：

http://www.securityfocus.com/infocus/1904?ref=rss