泰安ERP軟件

新聞分類

聯系我們

企業名稱:泰安市諾盾網絡有限公司

聯系人:仇藝峰

手機:18605385802

郵箱:[email protected]

網址:www.laiwlz.live

地址:泰安市泰山區長城路北首圣地公寓A座0855室

泰安軟件開發的安全內建

您的當前位置: 首 頁 >> 新聞中心 >> 公司新聞

泰安軟件開發的安全內建

發布日期:2018-12-15 作者: 點擊:


泰安軟件開發

隨著互聯網應用、移動應用爆發式的增長,伴隨而來的黑客攻擊事件也是層出不窮。僅在過去的2015年里,被公開報道的數據泄露安全事件就有約3930起,將近7.36億條數據被泄漏。顯而易見的是,如果某家企業被爆出安全問題,對企業造成的影響不僅僅只是名譽、財務上的損失,還會遭受法律訴訟,陷入競爭不利的局面。安全已經是企業不可忽視的問題。

某些安全措施容易被誤解為是團隊的負擔

泰安軟件開發團隊人員安全技能有所缺失,應用的安全性過度依賴于應用安全團隊

為何安全漏洞如此難以消除?

2.1 WAF是把雙刃劍

WAF主要的職責是阻擋攻擊,為開發團隊爭取修復漏洞的時間。換言之,只要應用中存在安全問題的代碼沒有被修復,漏洞就會一直存在,一旦WAF規則被繞過,或者配置不當,反而會將應用置于更高的安全風險當中。此外,誤報和漏報始終是WAF無法徹底解決的問題,與此同時,隨著應用規模的擴大,業務邏輯復雜度的增加,對于WAF的管理維護難度也在不斷增加。

2.2 滲透測試讓企業面臨兩難的境地

滲透測試確實能發現安全漏洞,但是也存在著明顯的不足。首先是太晚才能得到安全問題的反饋,因為通常而言,滲透測試會被安排在產品上線發布之前進行,此時如果檢查出安全漏洞,企業反而會面臨兩難的境地:修復安全漏洞之后再發布產品,或者強行發布包含安全漏洞的產品。同修復業務缺陷一樣,修復安全漏洞也是越晚修復成本越高,開發團隊需要投入更多的時間和人力,而這可能導致產品推遲發布,錯失市場機會;如果強行發布含有安全漏洞的產品,又將增加被黑客攻擊利用的風險。

2.3 拋開現象看本質,問題的根源在于缺乏高效的安全反饋機制

應用中的安全漏洞是在開發過程當中由于各種原因被引入的,然而回顧現有的安全措施就會發現,其中大量的措施發生在應用程序開發過程之外,例如WAF、安全監控發生在產品上線之后,滲透測試需要等待開發完畢后才能進行,而安全培訓、安全規范只能起到預防作用。盡管各種安全措施都能為開發團隊提供不同程度的安全反饋信息,然而問題在于,大量的安全措施都發生在開發過程之外,距離安全問題被引入的時間點之間有很長的距離,因此安全問題不能及時的反饋給開發團隊。此外,由于不少安全措施的成本高、耗時長,因此難以持續性的為開發團隊提供安全反饋。例如聘請第三方安全公司對應用進行安全滲透測試的價格較高,且往往需要幾天甚至更多時間才能收到安全報告。

更好的解決安全問題

安全漏洞本質上是軟件質量缺陷,安全性是軟件質量的重要組成部分,而現如今應用安全面臨的問題和多年以前軟件測試面臨的問題極其相似。當時人們在開發軟件的時候,采取的做法往往是在軟件開發臨近結束之時集中性的進行測試,修復發現的質量缺陷,結果是當時的軟件質量普遍不高,不少項目因此失敗。

為了提高軟件質量,開發團隊采取了一些措施,例如將測試介入的時間點提前,盡早進行測試,甚至是先寫測試后寫實現代碼,與此同時也大量采用自動化測試來加快測試執行速度,采用構建流水線持續關注軟件質量,并且每位團隊成員都對軟件質量負責,而不再認為只是測試人員的職責。這些措施之所以能夠顯著提高軟件質量,關鍵在于它們能夠更加高效的為開發團隊提供軟件質量相關的反饋信息,使得開發團隊能夠基于反饋結果迅速進行改進。

同理,要更好的解決安全問題,開發團隊應當建立起一個高效的安全反饋機制,在開發過程中引入一些安全活動,盡早開始收集安全反饋信息,加快獲取安全反饋的速度,在整個開發過程中持續性的關注應用的安全性,與此同時團隊成員共同來承擔安全職責。我們將這些在實踐中總結出來的經驗命名為內建安全的軟件開發方式(Build Security In DnA,下文簡稱BSI),從源頭上盡早、盡快、持續性的,以團隊共同協作的方式發現并解決安全問題。


本文網址:http://www.laiwlz.live/news/461.html

關鍵詞:泰安軟件開發,網絡公司泰安,軟件制定開發

最近瀏覽:

甘肃快三今天的开奖号