سازمان ها می بایست فعالانه از برنامه های کسب و کار خود در مقابل تهدیدات خارجی و داخلی محافظت کنند ، از مرحله ی طراحی تا مراحل پیاده سازی و تولید.
امنیت نرم افزار چالش های خاصی هم برای ارائه دهنده ی خدمات ابر و هم برای مشتری ایجاد می کند. سازمان ها می بایست به همان اندازه که برای امنیت فیزیکی و زیر ساخت اهمیت قائل هستند برای امنیت نرم افزار نیز به همان اندازه تلاش کنند. اگر برنامه ای در معرض خطر باشد، می تواند مسئولیت های مالی و آسیب های اعتباری به ارائه دهنده و مشتری برساند. به خصوص اگر کاربران نهایی ، خود، مشتری دوم باشند.( مشتریان مشتری)
به منظور حفاظت برنامه از انواع مختلف نواقص ، مهم است که درک مناسبی از سیاست امنیتی نرم افزار وجود داشته باشد.
جدول شماره 3، تاثیر استقرار ابر روی امنیت نرم افزار را نشان می دهد.
جدول 3: تاثیر مدل استقرار ابر روی امنیت برنامه ی کاربردی
نوع استقرار ملاحظات کاربرد سیاست های امنیتی
زیر ساخت به عنوان سرویس . مشتری کلیه ی مسئولیت های استقرار نرم افزار – سیستم عامل- middleware و نرم افزار و همچنین کلیه ی امور امنیتی را بر عهده دارد.
. سیاست های امنیتی نرم افزار می بایست از سیاست های برنامه های کاربردی داخلی پیروی کند.
. مشتری می بایست تمرکز خود را در شبکه ، محیط ، ممیزی، اختیارات و ملاحظات احراز هویت معطوف کند.
. استاندارد های رمز گذاری شده می بایست در مدیریت داده ها و تعاملات کاربر، رعایت گردد.
. سیستم اصولی ضمانت و روش توسعه و آزمایش که آسیب پذیری را به حداقل می رساند ، می بایست رعایت گردد.
. اگر مقیاس های امنیتی محاسبات قابل اعتماد مبتنی بر سخت افزار مانند Intel Txt در دسترس هستند، با استفاده از آن در جهت جلوگیری تخریب نرم افزار های مخرب اقدام گردد.
بستر نرم افزاری به عنوان سرویس . مشتری مسئولیت بکارگیری نرم افزار و تامین امنیت دسترسی به نرم افزار را برعهده دارد.
. ارائه دهنده مسئولیت تامین زیر ساخت ها و سیستم عامل را برعهده دارد.
. مشتری می بایست بر روی ممیزی ، اختیارات و ملاحضات مذکور تمرکز داشته باشد.
. رمز گذاری مناسب داده ها و مدیریت استاندار می بایست رعایت شود.
. در مدل PaaS ، نیاز به دانشی در مورد قالب و مکان داده ها نمیباشد. ولی بسیار مهم است بدانند که داده های آنها چطور قابل دسترسی و مدیریت می باشد.
نرم افزار به عنوان سرویس مسئولیت سیاست های امنیتی نرم افزار عمدتا برعهده ی ارائه دهنده ی سرویس می باشد و کاملا وابسته به شرایط قرارداد SLA می باشد. مشتری می بایست اطمینان حاصل کند که این شرایط شامل ، محرمانه سازی ، یکپارچه سازی و در دسترس بودن میباشد، براورده گردد.
. مهم است که مشتری درک مناسبی از برنامه های ارائه دهنده داشته باشد به خصوص در مورد مقابله با نرم افزارهای مخرب.
. به طور معمول ، مشتری تنها قادر به تغییر پارامترها ی نرم افزارهایی است که توسط فروشنده ارائه می گردد ، این پارامترها مستقل از تنظیمات امنیتی برنامه می باشند، با این حال ، مشتری می بایست اطمینان حاصل کند که تغییرات در پیکربندی به مدل امنیتی ارائه دهنده ی سرویس آسیب نمی رساند.
. مشتری می بایست دانش چگونگی مدیریت دسترسی اطلاعات توسط فروشنده را داشته باشد . در مدل SaaS، مشتری به احتمال قوی ، از محل و فرمت ذخیره سازی آگاه نیست.
.مشتری می بایست استانداردهای رمز گذاری داده ها را درک کند.
. مشتری می بایست نسبت به میزان حساس بودن داده ها، آگاه باشد. ( طبق تعاریف و طبقه بندی ها در داده ها)

لازم بذکر است، یک هزینه ی اضافی جهت اطمینان حاصل کردن از موارد فوق می بایست برای مشتری در نظر گرفته شود، هزینه ها معمولا براساس تکنولوژی ، منابع ، مداخلات و ممیزی ها ، محاسبه خواهد شد. با این حال این هزینه ها در مقایسه با از دست رفتن اعتبار و داده ها ، ناچیز می باشد.
هنگامی که برنامه های کاربردی در حال توسعه و گسترش هستند ، بسیار مهم است که مشتریان درک کنند که ممکن است برخی کنترل ها را از دست بدهند و همچنین بهتر است از یک روش ساختار یافته جهت مهندسی امنیت استفاده نمایند.