我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合公式 > 防病毒程序 >

敏捷开发的今天如何保证应用程序安全?

归档日期:06-07       文本归类:防病毒程序      文章编辑:爱尚语录

  【IT168评论】在软件开发的任何阶段忽略不安全代码的风险都是不负责任的,就算一再升级防病毒解决方案和防火墙,也并不会对应用程序起到保护作用。现在,很多公司似乎都在努力成为一家软件公司。软件的生存和发展过程对自动化日益依赖,尽管整体的大环境越来越恶劣,但本质来说,不安全的代码编写才是首当其冲的安全风险。

  随着软件逐渐占领这个世界,软件的安全性变得越来越重要。你写的每一行代码都可能会受到攻击。不安全的软件导致2015年有约82%的金融违约,并且是过去九年总体违规的主要原因。几乎每个研究都表明,很多Web应用程序和移动APP都有严重的漏洞。

  但问题的规模实在太过庞大,导致人为难以控制,这时就需要自动化上场了。我们需要能够帮助新手开发者可靠地构建和操作安全应用程序和API的工具。我们必须将纸质的安全政策和指导转变为“安全代码”,而不破坏现代化的高速软件开发。

  不幸的是,安全的应用程序开发通常不能以所需的速度和规模操作。现在的产品迭代速度十分快,敏捷开发是开发者的必备技能。传统的安全方法可能会很完备,但破坏了软件生命周期,这些程序往往很依赖某些专家,工具仅供专家使用。当将技术和人力成本相结合时,这些应用每年的成本从50,000美元到100,000美元不等。

  首先,自从依赖管理工具(如Maven)诞生以来,框架和库开始爆炸式增长,这导致应用程序有几百个库,而不仅仅是几个。这种大规模的增长使得更难找到漏洞。因此,必须知道这些库的作用及其如何通过自定义应用程序代码实现。

  此外,还存在使用API(REST,SOAP,RPC等)来创建Web 应用和移动应用的趋势。这些API很难评估和保证,因为它们的通信结构难以理解。除非有好的工具可以理解,否则不会产生很好的效果。

  最后,高速软件开发实践(如敏捷开发和DevOps)已经破坏了传统的安全方法。以前的公司一般是等到部署之前,一次性做一个深入的安全审查,可能需要几个星期才能完成。然而,当项目按每周,每天或每小时部署时,就完全没时间进行深入安全审查了。我们需要一种不同的方法和工具。

  现代软件开发需要持续的安全性以及持续集成、交付、部署。简而言之,挑战就是在现在的开发流程中保证软件的安全可靠。

  1、选择应用程序安全工具,以提高速度,易用性,准确性和可扩展性。实时反馈和易用性至关重要。Appsec工具可在开发和操作中使用,而无需有安全经验。

  2、将安全直接集成到管道中。为了缩短反馈周期,寻找能够将结果直接提供到已使用的工具中的,例如Slack,HipChat,JIRA,Maven,Jenkins,SIEM和PagerDuty,使安全问题看起来就好像是开发或操作中遇到的普通问题。

  3、检测漏洞。现代软件开发过程需要对漏洞快速反馈,传统静态(SAST)和动态(DAST)扫描仪难以自动化反馈并容易生成假警报。可以使用较新的交互式(IAST)工具,使用最新的技术从内部评估应用程序。

  4、避免被攻击。应用程序防攻击保护不仅仅是针对已知攻击的防御,它提供了一种快速和灵活的方式来阻止未知攻击。传统的Web应用程序防火墙(WAF)创建网络架构的方式既复杂又不准。幸运的是,运行时应用程序自我保护(RASP)得到了广泛采用,其灵活部署和准确性令人印象深刻。

  5、使用威胁情报和安全研究来改善安全架构。使用通用工具搜索出较差的编码是一个好的开始。但是当程序逐渐成熟,你可能希望你的工具自动执行预先选择的安全模式。这是一种“积极”的安全方法。最终,你希望能够自动验证所有应用程序是否具有正确的安全防御措施,所有防御措施是否正确,以及这些防御措施是否已在适当的位置使用。

  好消息是,现代的应用程序安全工具可以即时反馈漏洞和攻击,可以创建一个软件开发流水线,可靠地保护代码和应用程序操作过程的每个阶段。

本文链接:http://renfriends.com/fangbingduchengxu/511.html