《完美世界》txt全集,有声小说下载,长生界辰东小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

應(yīng)用程序安全從開發(fā)階段開始

IT是個有趣的世界，網(wǎng)絡(luò)既是商業(yè)運作的關(guān)鍵驅(qū)動力又是攻擊者的主要攻擊目標。由于攻擊者到處作惡，企業(yè)們也開始更加認真的對待應(yīng)用程序安全。根據(jù)OWASP項目組最近進行的調(diào)查結(jié)果顯示，四分之一的受訪者計劃在網(wǎng)絡(luò)應(yīng)用程序安全方面增加開支。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、成都小程序開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了射陽免費建站歡迎大家使用！

這是個好兆頭，因為確實存在很多網(wǎng)絡(luò)應(yīng)用程序漏洞，不過這種狀況也引出一個問題，究竟企業(yè)應(yīng)該如何在應(yīng)用程序開發(fā)階段建設(shè)安全性。雖然在開發(fā)階段就開始建設(shè)安全性聽起來很不錯，可是實施起來去很復(fù)雜，需要良好的規(guī)劃。

根據(jù)Forrester研究所分析師Mike Gualtieri表示，很多應(yīng)用程序開發(fā)小組知道安全問題，也考慮過用戶驗證、授權(quán)和關(guān)鍵數(shù)據(jù)加密等問題。不過這些對于他們而言，都是難題。

美國紐約州某法律事務(wù)廳的首席信息安全官，Deborah Snyder曾經(jīng)歷過因為誤解而造成的安全問題。

“當(dāng)我第一次談?wù)摪踩_發(fā)生命周期的概念的時候，大家認為安全只是訪問控制方面的問題，”她表示，“安全只是程序開發(fā)后加入的東西，或者說在開發(fā)后半期用于簡單控制訪問該程序或者訪問數(shù)據(jù)的東西?！?/p>

早期的時候，確實很少有人知道如何在軟件開發(fā)周期(SDLC)建立安全，但是后來大家開始了解，安全的SDLC需要適當(dāng)?shù)囊?guī)劃。 “在早期就應(yīng)該建立安全性，因為這樣能夠避免更多的程序漏洞問題?！?/p>

Snyder表示，在規(guī)劃階段，根據(jù)重要性和涉及的數(shù)據(jù)類型或者將要支持的交易類型，該項目小組開始對他們建造的系統(tǒng)或者應(yīng)用程序的重要意義有所了解。隨后會對這些進行改進，并根據(jù)風(fēng)險級別提供適當(dāng)?shù)男畔踩L問級別。

確定威脅

SDLC的關(guān)鍵部分就是威脅同步建模。在“使用威脅建模來開發(fā)更安全的應(yīng)用程序”文中，Gualtieri寫道威脅建模過程的第一步就是匯出應(yīng)用程序架構(gòu)的數(shù)據(jù)流圖(DFD)。該圖應(yīng)該能夠說明整個應(yīng)用程序的架構(gòu)組件和組件間流通的數(shù)據(jù)，并描述防火墻或者對外部系統(tǒng)訪問等防御。

只有當(dāng)繪出能夠完整展現(xiàn)架構(gòu)的圖，才能進行良好的威脅建模，例如，如果你的應(yīng)用程序存儲信用卡數(shù)據(jù)，如果你不畫出信用卡的數(shù)據(jù)存儲形狀，就不能正確的為這個組件分析威脅。

最廣泛使用的威脅建模解決方案包括微軟的SDL威脅建模攻擊，而這種產(chǎn)品的市場不是特別成熟，不過威脅建模確實是很重要的。

這些攻擊有一定的局限性，包括它們使用的是預(yù)先確定的情況，無法適應(yīng)特定的針對應(yīng)用程序威脅的情況，并且不能將威脅與金融損失相聯(lián)系。

“威脅建模的潛在風(fēng)險在于，將其作為一次性任務(wù)來進行，并以此為基準，而不是將其作為風(fēng)險管理攻擊的重要組件來納入SDLC中。”

盡管如此，威脅建模是必要的。在Sony電影娛樂公司，威脅建模過程主要是頭腦風(fēng)暴和基于已知漏洞的whiteboarding，并對不良操作采取最佳解決方案。這樣做能夠很大限度的避免漏洞?！半m然我們做得還不夠完美，不過我們開始逐漸消除各種類別的不同漏洞，很多web應(yīng)用程序漏洞是以輸入為基礎(chǔ)的，因此它們往往缺乏基本的驗證，這也是我們要求開發(fā)人員驗證所有進入應(yīng)用程序架構(gòu)的東西的原因?！?/p>

存在如此多漏洞的最大原因可能是因為有太多代碼存在。

“想想看在應(yīng)用程序中有多少SELECT語句需要進入數(shù)據(jù)庫獲取數(shù)據(jù)，”Gartner分析師Joseph Feiman表示，“可能每一個SELECT都是SQL注入攻擊的潛在對象。SELECT語句不會因此降低，需要處理的數(shù)據(jù)庫的數(shù)量也不會減少，因此，你也不能減少對數(shù)據(jù)庫的訪問，而這些也成為SQL注入攻擊的潛在目標?！?/p>

理想的情況是，應(yīng)用程序安全需要做到這一點，并不是安全審計員和測試者來發(fā)現(xiàn)出95%的漏洞，而是在開發(fā)階段就避免掉這些漏洞。

【編輯推薦】

Web應(yīng)用程序安全性問題本質(zhì)解密
五種常見的ASP.NET應(yīng)用程序安全缺陷
確保PHP應(yīng)用程序安全的四條規(guī)則
理解Web應(yīng)用程序的安全挑戰(zhàn)

新聞標題：應(yīng)用程序安全從開發(fā)階段開始
標題來源：http://m.fisionsoft.com.cn/article/coojooh.html

新聞中心

其他資訊