日期:2019-11-01 点击: 关键词:互联网企业,软件开发,安全漏洞
大部分的互联网企业都有涉及到软件开发,通过专业的工程师开发自身的产品并不断根据用户体验优化,是很多互联网企业的生存之道。但目前很多开发人员的安全开发意识或技能不足,往往关注于业务本身,对安全方面有所忽视。导致开发的产品具有安全漏洞,容易为竞争对手或黑客所利用,给公司带来巨大损失,今天就来谈谈如何进行安全的软件开发。
(网络安全)
超过50%的安全漏洞由错误的编码产生,开发人员一般安全开发意识和安全开发技能不足,更加关注业务功能的实现,想要确保Web应用程序在交付之前和交付之后都是安全的,就需要利用Web应用安全测试技术识别程序中架构的薄弱点和漏洞。值得一提的是,近年来开发模式的演进带来Web应用安全测试新挑战。从过去的传统开发模式,到敏捷开发,再到DevOps,都涉及到设计、开发、测试和部署环节,每一个环节都面临安全问题;众多产品需要逐个排队进行安全检测,并由安全团队专门负责运行,复杂产品临近版本发布才出检测结果,一般没有足够时间去分析和修复发现的问题,综上种种,常规源代码审核工具成为效率瓶颈。
Web应用安全测试技术经过多年发展取得巨大进步,目前业界公认最前沿的技术为“IAST”,交互式应用安全测试技术,被Gartner公司列为信息安全领域的Top10技术之一。“IAST”技术融合了SAST和DAST技术的优点,漏洞检出率极高、误报率极低,同时可以定位到API接口和代码片段,整个过程无需安全专家介入,无需额外安全测试时间投入,不会对现有开发流程造成任何影响,符合敏捷开发和DevOps模式下软件产品快速迭代、快速交付的要求。
目前已经开发出基于“IAST”技术的IAST代码审查系统,该系统主要由三部分组成:核心检测能力,平台基础功能和外部集成接口。其中核心检测能力基于交互式应用安全检测技术实现,包括服务端和检测探针;平台基础功能则提供了各类丰富的操作功能,包括组织结构配置、权限分配、安全弱点检测管理、统计分析等;外部集成接口为平台与其他研发过程中的系统对接预留接口。
代码审查系统分为服务端和检测端两类,采用B/S的架构部署,服务端部署在内网服务器上,其内置了关系数据库、NoSQL数据库及异步消息队列服务;检测端Agent直接植入到被测试应用微服务Docker容器中,对开发和测试人员无感知。
当前整个社会都在经历数字化转型,安全是企业业务数字转型的关键,安全不再是单纯的技术问题,而是业务与风险问题。作为信息安全责任主体,第一要从根源入手,排查和整改网络安全隐患及漏洞,依据《网络安全法》、《国家网络安全等级保护制度》等要求,加强安全管理和技术防护;第二要加强内外网的数据流量实时监控,通过管理和技术手段进行防范攻击;第三对于数据库和应用软件使用,加强管理,尤其是重要软件要积极开展第三方安全检测,提升运维安全水平。企业信息安全建设的根本愿景,是保障企业的业务的安全可持续性发展,保证企业利益相关者生命、财产安全的延续,实现这一愿景是包括企业、用户和安全厂商在内的共同的目标!
企业通讯
