科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理企业难题之落实应用程序开发安全性

企业难题之落实应用程序开发安全性

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 笔者之前看过一篇文章写得很好,里面提及了会写程序的有很多人,但是会写安全程序却没有几个。

来源:eNet 2010年1月7日

关键字: 安全策略 企业安全

  • 评论
  • 分享微博
  • 分享邮件

  笔者之前看过一篇文章写得很好,里面提及了会写程序的有很多人,但是会写安全程序却没有几个。

  而如果在开发初期就将安全问题纳入规划,成本是最低的!

  在开发阶段就落实正确而安全的程序写法,是最彻底解决的办法!

  当上线之后,才发现程序本身就不安全,那么可能为时已晚。

  在你还没找到补破洞的方法之前,资料也许已经泄漏出去了!

  面对新版的”个人资料保护法”势在必行,企业不得不正视Web应用程序的安全问题。然而,企业面临的难题在于,企业内部的安全人员大多是IT基础架构的成员,过去听到的”安全”话题,多是网管或系统管理组的负责领域。

  关于应用程序面的安全,企业的了解相对而言很有限,而开发人员本身更不用说。我们一般会问”你会不会写程序”,少见询问”你会不会写‘安全的’程序”。

  程序设计师在技能养成的过程中,就不曾接触过相关话题,据了解,直至今日的大专院校仍少见”安全的程序开发”相关课程。

  再加上专案时程紧凑,能够准时、无误又符合需求地交付上线,就是很不容易的事情,因此”安全”更是无暇顾及的事情。现在资讯主管要求开发者写”安全的程序代码”,几乎是缘木求鱼。

  弱点在开发早期解决,成本最低

  该怎么处理这样的问题?许多对安全敏感性较高的产业,早已选择渗透测试,请安全专家以黑客的手法检验网站的安全性。然而渗透测试费用不低,无法频繁地执行,一般而言,是一年1至2次,所以无法时时把关安全性。

  因此,市面上也出现了”静态程序代码安全性检测”及”动态程序代码安全性检测”工具,希望帮助企业在安全意识不足的情况下,透过工具的自动化扫描,抓出安全性漏洞,并提供弱点解说与修正建议,进而学会处理的方式。

  动态程序代码检测工具及渗透测试都是在模拟黑客的手法,尝试找到网站的弱点,并提供相关报告。这种作法比静态程序代码安全性检测全面,因为可以抓出操作系统、应用服务器的漏洞,及设定面问题。

  不过,静态程序代码安全性扫描工具的强项在于,能地毯式地扫描程序代码、抓出不安全的写法,并提供修正建议,是从根源就做好防护的安全性作法。

  毕竟软件上线后才发现问题,再去解决的成本是开发阶段的100倍。

  OWASP(Open Web Application Security Project)主席Jeff Williams在2008年的美国年会上,开宗明义说道:”很多单位把大部分的安全预算花在‘黑(Hacking)’,也就是做渗透测试跟扫描。这没什么错,这些工作是重要的,但是我们没办法把自己‘黑’得更安全。”

  在开发阶段就落实正确而安全的程序写法,是最彻底的解决办法。若再搭配渗透试,可进一步验证成效。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章