你應該首先保護哪些應用程序?這個問題自己問錯了!

時間 2019-11-06

標籤應該首先保護哪些應用程序這個問題自己錯了简体版

原文原文鏈接

若是貴企業與大多數企業同樣，那麼IT環境中可能有數百個、乃至數千個應用程序。它們極有多是在過去10年或20年編寫、更新和打上補丁的。你可能對那些應用程序並無作好足夠到位的安全工做。要說有什麼可讓你稍稍寬慰，那就是咱們採訪的每一個人其實處境如出一轍。在人們不知不覺當中，安全這筆債很快會堆積如山。起初，並無多少人能夠意識到應用程序的安全問題，一旦安全出了問題，後果有時候是很難想象的，與其坐以待斃，不如趁早尋求安全保護解決辦法，在此推薦愛加密——移動應用安全加密保護，專業的加密技術能夠徹底讓你免除後顧之憂！數據庫

不妨看一看應對這個挑戰的若干糟糕戰術：安全

第一個糟糕戰術：只保護面向外部的應用程序。工具

這是最多見的戰術之一。因爲資源有限，貴企業的團隊專一於面向外部的應用程序。這絕對是採用的最糟糕戰術之一。某個應用程序是否暴露在互聯網面前，這僅僅是決定應用程序「內在風險」的諸多因素當中的一個。若是這是你惟一要考慮的因素，那麼大量的時間和精力就會耗費在對貴企業來講風險不是那麼高的應用程序進行深層安全審查的工做上。相反，應該考慮數據的敏感性、業務職能有多關鍵、用戶羣體及攻擊者羣體的數量和技能以及其餘風險因素。測試

第二個糟糕戰術：每次只面對一種應用程序。網站

大多數方法試圖每次只面向一種應用程序來處理應用程序的安全。當你對應用程序執行深層安全分析時，許多時間浪費在了很小的安全漏洞上，而這些安全漏洞不太可能讓貴企業倒閉破產。每一年，有更多的應用程序和更多的攻擊途徑須要考慮。因此，每一年，安全團隊要作的工做愈來愈多。每次面向一種應用程序這個作法根本不具備可擴展性。相反，專一於如何杜絕你全部應用程序面臨的最重大漏洞。加密

第三個糟糕戰術：進行年度安全測試。spa

許多企業採用了「每一年一次」或「每三年一次」的應用程序安全測試計劃表。這種方法須要爲新的應用程序、舊的應用程序、雲應用程序和產品等制定一套複雜的計劃調度流程。現在新的安全漏洞和攻擊手法層出不窮，於是這種方法面臨極高的風險。新的代碼庫漏洞可能會讓應用程序徹底暴露無遺，直到下一次審查纔有所發現。新的安全漏洞每每迅速添加到黑客工具中，併成爲普遍的掃描活動的一部分。另外，現代化軟件開發流程每週或天天在發佈代碼，而不是每一年發佈。安全必須加快跟上來。orm

第四個糟糕戰術：只保護關鍵應用程序。接口

另外一種可能性是僅僅專一於關鍵業務型應用程序――要是這些應用程序完蛋，業務就會隨之癱瘓。考慮可能給業務形成的實際破壞是明智之舉，可是這一般僅僅牽涉一小批應用程序。在許多企業，應用程序安全團隊不堪重負、人手不足，他們的掃描方法並不具備可擴展性，處理不了任何更多的應用程序。遺憾的是，許多現實世界中的泄密事件是從不過重要的應用程序中招開始的(好比索尼事件)，隨後向更重要的系統擴散和蔓延。即便「小冊子軟件」網站遭到攻擊，那也將是須要收拾的爛攤子和公關災難。事件

全部上述戰術沒有一個支持迅速確保應用程序安全這個更普遍的戰略，並且與現代軟件開發不兼容。咱們須要這樣一種方法：能夠適用於咱們的所有應用程序組合，跟得上現代軟件開發的步伐，並且首先關注最大的風險。好消息是，咱們能夠充分利用持續集成和持續交付等諸多理念和技術，打造一種不一樣的應用程序安全流程，快速、準確、簡單。

正確的問題：你的應用程序有安全儀表化機制嗎?

儀表化讓你能夠直接從應用程序收集安全信息，無需掃描、破解或任何其餘額外的步驟。若是你的應用程序實現了儀表化，它們能夠測試本身，不斷報告其狀態。這完全改變了應用程序安全的規模問題。你不必去掃描全部應用程序，它們會測試本身，不斷地報告給你。

下面是證實儀表化魅力的一個例子。比方說，你關注的最重要的安全問題是SQL注入;你已規定，開發人員只可以使用參數化查詢。很容易用數據庫接口中的一些安全儀表化機制來證明這一點。好比說，你能夠對MySQL庫實現儀表化，報告非參數化查詢的使用。只要把類路徑(classpath)上的StatementImpl的這個版本放在實際版本前面。