应用安全:企业难题之落实应用程序开发安全性

笔者之前看过一篇文章写得很好,里面提及了会写程序的有很多人,但是会写安全程序却没有几个。

巫山网站建设公司创新互联建站,巫山网站设计制作,有大型网站制作公司丰富经验。已为巫山数千家提供企业网站建设服务。企业网站搭建\外贸网站建设要多少钱,请找那个售后服务好的巫山做网站的公司定做!

而如果在开发初期就将安全问题纳入规划,成本是最低的!

在开发阶段就落实正确而安全的程序写法,是最彻底解决的办法!

当上线之后,才发现程序本身就不安全,那么可能为时已晚。

在你还没找到补破洞的方法之前,资料也许已经泄漏出去了!

面对新版的”个人资料保护法”势在必行,企业不得不正视Web应用程序的安全问题。然而,企业面临的难题在于,企业内部的安全人员大多是IT基础架构的成员,过去听到的”安全”话题,多是网管或系统管理组的负责领域。

关于应用程序面的安全,企业的了解相对而言很有限,而开发人员本身更不用说。我们一般会问”你会不会写程序”,少见询问”你会不会写‘安全的’程序”。

程序设计师在技能养成的过程中,就不曾接触过相关话题,据了解,直至今日的大专院校仍少见”安全的程序开发”相关课程。

再加上专案时程紧凑,能够准时、无误又符合需求地交付上线,就是很不容易的事情,因此”安全”更是无暇顾及的事情。现在资讯主管要求开发者写”安全的程序代码”,几乎是缘木求鱼。

弱点在开发早期解决,成本最低

该怎么处理这样的问题?许多对安全敏感性较高的产业,早已选择渗透测试,请安全专家以黑客的手法检验网站的安全性。然而渗透测试费用不低,无法频繁地执行,一般而言,是一年1至2次,所以无法时时把关安全性。

因此,市面上也出现了”静态程序代码安全性检测”及”动态程序代码安全性检测”工具,希望帮助企业在安全意识不足的情况下,透过工具的自动化扫描,抓出安全性漏洞,并提供弱点解说与修正建议,进而学会处理的方式。

动态程序代码检测工具及渗透测试都是在模拟黑客的手法,尝试找到网站的弱点,并提供相关报告。这种作法比静态程序代码安全性检测全面,因为可以抓出操作系统、应用服务器的漏洞,及设定面问题。

不过,静态程序代码安全性扫描工具的强项在于,能地毯式地扫描程序代码、抓出不安全的写法,并提供修正建议,是从根源就做好防护的安全性作法。

毕竟软件上线后才发现问题,再去解决的成本是开发阶段的100倍。

OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美国年会上,开宗明义说道:”很多单位把大部分的安全预算花在‘黑(Hacking)’,也就是做渗透测试跟扫描。这没什么错,这些工作是重要的,但是我们没办法把自己‘黑’得更安全。”

在开发阶段就落实正确而安全的程序写法,是最彻底的解决办法。若再搭配渗透试,可进一步验证成效。

分享文章:应用安全:企业难题之落实应用程序开发安全性
路径分享:http://www.shufengxianlan.com/qtweb/news20/123020.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联