大部分的互聯(lián)網(wǎng)企業(yè)都有涉及到軟件開發(fā)��,通過專業(yè)的工程師開發(fā)自身的產(chǎn)品并不斷根據(jù)用戶體驗優(yōu)化��,是很多互聯(lián)網(wǎng)企業(yè)的生存之道��。但目前很多開發(fā)人員的安全開發(fā)意識或技能不足����,往往關(guān)注于業(yè)務(wù)本身��,對安全方面有所忽視�����。導(dǎo)致開發(fā)的產(chǎn)品具有安全漏洞,容易為競爭對手或黑客所利用��,給公司帶來巨大損失�����,今天就來談?wù)勅绾芜M(jìn)行安全的軟件開發(fā)�����。
(網(wǎng)絡(luò)安全)
超過50%的安全漏洞由錯誤的編碼產(chǎn)生��,開發(fā)人員一般安全開發(fā)意識和安全開發(fā)技能不足�����,更加關(guān)注業(yè)務(wù)功能的實現(xiàn)����,想要確保Web應(yīng)用程序在交付之前和交付之后都是安全的,就需要利用Web應(yīng)用安全測試技術(shù)識別程序中架構(gòu)的薄弱點(diǎn)和漏洞����。值得一提的是,近年來開發(fā)模式的演進(jìn)帶來Web應(yīng)用安全測試新挑戰(zhàn)。從過去的傳統(tǒng)開發(fā)模式����,到敏捷開發(fā)��,再到DevOps����,都涉及到設(shè)計、開發(fā)����、測試和部署環(huán)節(jié),每一個環(huán)節(jié)都面臨安全問題;眾多產(chǎn)品需要逐個排隊進(jìn)行安全檢測����,并由安全團(tuán)隊專門負(fù)責(zé)運(yùn)行,復(fù)雜產(chǎn)品臨近版本發(fā)布才出檢測結(jié)果��,一般沒有足夠時間去分析和修復(fù)發(fā)現(xiàn)的問題��,綜上種種��,常規(guī)源代碼審核工具成為效率瓶頸����。
Web應(yīng)用安全測試技術(shù)經(jīng)過多年發(fā)展取得巨大進(jìn)步�����,目前業(yè)界公認(rèn)最前沿的技術(shù)為“IAST”����,交互式應(yīng)用安全測試技術(shù)��,被Gartner公司列為信息安全領(lǐng)域的Top10技術(shù)之一��。“IAST”技術(shù)融合了SAST和DAST技術(shù)的優(yōu)點(diǎn)��,漏洞檢出率極高��、誤報率極低����,同時可以定位到API接口和代碼片段,整個過程無需安全專家介入�����,無需額外安全測試時間投入��,不會對現(xiàn)有開發(fā)流程造成任何影響,符合敏捷開發(fā)和DevOps模式下軟件產(chǎn)品快速迭代�����、快速交付的要求����。
目前已經(jīng)開發(fā)出基于“IAST”技術(shù)的IAST代碼審查系統(tǒng)�����,該系統(tǒng)主要由三部分組成:核心檢測能力��,平臺基礎(chǔ)功能和外部集成接口�����。其中核心檢測能力基于交互式應(yīng)用安全檢測技術(shù)實現(xiàn)�����,包括服務(wù)端和檢測探針;平臺基礎(chǔ)功能則提供了各類豐富的操作功能�����,包括組織結(jié)構(gòu)配置、權(quán)限分配�����、安全弱點(diǎn)檢測管理�����、統(tǒng)計分析等;外部集成接口為平臺與其他研發(fā)過程中的系統(tǒng)對接預(yù)留接口��。
代碼審查系統(tǒng)分為服務(wù)端和檢測端兩類�����,采用B/S的架構(gòu)部署����,服務(wù)端部署在內(nèi)網(wǎng)服務(wù)器上,其內(nèi)置了關(guān)系數(shù)據(jù)庫�����、NoSQL數(shù)據(jù)庫及異步消息隊列服務(wù);檢測端Agent直接植入到被測試應(yīng)用微服務(wù)Docker容器中��,對開發(fā)和測試人員無感知����。
當(dāng)前整個社會都在經(jīng)歷數(shù)字化轉(zhuǎn)型��,安全是企業(yè)業(yè)務(wù)數(shù)字轉(zhuǎn)型的關(guān)鍵�����,安全不再是單純的技術(shù)問題����,而是業(yè)務(wù)與風(fēng)險問題��。作為信息安全責(zé)任主體�����,第一要從根源入手����,排查和整改網(wǎng)絡(luò)安全隱患及漏洞�����,依據(jù)《網(wǎng)絡(luò)安全法》��、《國家網(wǎng)絡(luò)安全等級保護(hù)制度》等要求,加強(qiáng)安全管理和技術(shù)防護(hù);第二要加強(qiáng)內(nèi)外網(wǎng)的數(shù)據(jù)流量實時監(jiān)控��,通過管理和技術(shù)手段進(jìn)行防范攻擊;第三對于數(shù)據(jù)庫和應(yīng)用軟件使用����,加強(qiáng)管理,尤其是重要軟件要積極開展第三方安全檢測����,提升運(yùn)維安全水平。企業(yè)信息安全建設(shè)的根本愿景�����,是保障企業(yè)的業(yè)務(wù)的安全可持續(xù)性發(fā)展��,保證企業(yè)利益相關(guān)者生命��、財產(chǎn)安全的延續(xù)����,實現(xiàn)這一愿景是包括企業(yè)、用戶和安全廠商在內(nèi)的共同的目標(biāo)!
企業(yè)通訊
