日期:2019-11-01 點擊: 關鍵詞:互聯網企業,軟件開發,安全漏洞
大部分的互聯網企業都有涉及到軟件開發,通過專業的工程師開發自身的產品并不斷根據用戶體驗優化,是很多互聯網企業的生存之道。但目前很多開發人員的安全開發意識或技能不足,往往關注于業務本身,對安全方面有所忽視。導致開發的產品具有安全漏洞,容易為競爭對手或黑客所利用,給公司帶來巨大損失,今天就來談談如何進行安全的軟件開發。
(網絡安全)
超過50%的安全漏洞由錯誤的編碼產生,開發人員一般安全開發意識和安全開發技能不足,更加關注業務功能的實現,想要確保Web應用程序在交付之前和交付之后都是安全的,就需要利用Web應用安全測試技術識別程序中架構的薄弱點和漏洞。值得一提的是,近年來開發模式的演進帶來Web應用安全測試新挑戰。從過去的傳統開發模式,到敏捷開發,再到DevOps,都涉及到設計、開發、測試和部署環節,每一個環節都面臨安全問題;眾多產品需要逐個排隊進行安全檢測,并由安全團隊專門負責運行,復雜產品臨近版本發布才出檢測結果,一般沒有足夠時間去分析和修復發現的問題,綜上種種,常規源代碼審核工具成為效率瓶頸。
Web應用安全測試技術經過多年發展取得巨大進步,目前業界公認最前沿的技術為“IAST”,交互式應用安全測試技術,被Gartner公司列為信息安全領域的Top10技術之一。“IAST”技術融合了SAST和DAST技術的優點,漏洞檢出率極高、誤報率極低,同時可以定位到API接口和代碼片段,整個過程無需安全專家介入,無需額外安全測試時間投入,不會對現有開發流程造成任何影響,符合敏捷開發和DevOps模式下軟件產品快速迭代、快速交付的要求。
目前已經開發出基于“IAST”技術的IAST代碼審查系統,該系統主要由三部分組成:核心檢測能力,平臺基礎功能和外部集成接口。其中核心檢測能力基于交互式應用安全檢測技術實現,包括服務端和檢測探針;平臺基礎功能則提供了各類豐富的操作功能,包括組織結構配置、權限分配、安全弱點檢測管理、統計分析等;外部集成接口為平臺與其他研發過程中的系統對接預留接口。
代碼審查系統分為服務端和檢測端兩類,采用B/S的架構部署,服務端部署在內網服務器上,其內置了關系數據庫、NoSQL數據庫及異步消息隊列服務;檢測端Agent直接植入到被測試應用微服務Docker容器中,對開發和測試人員無感知。
當前整個社會都在經歷數字化轉型,安全是企業業務數字轉型的關鍵,安全不再是單純的技術問題,而是業務與風險問題。作為信息安全責任主體,第一要從根源入手,排查和整改網絡安全隱患及漏洞,依據《網絡安全法》、《國家網絡安全等級保護制度》等要求,加強安全管理和技術防護;第二要加強內外網的數據流量實時監控,通過管理和技術手段進行防范攻擊;第三對于數據庫和應用軟件使用,加強管理,尤其是重要軟件要積極開展第三方安全檢測,提升運維安全水平。企業信息安全建設的根本愿景,是保障企業的業務的安全可持續性發展,保證企業利益相關者生命、財產安全的延續,實現這一愿景是包括企業、用戶和安全廠商在內的共同的目標!
企業通訊
