大規模應用安全

在團隊，產品，業務部門之間使用同伴壓力和計分卡–通過競爭提高更好的應用程式安全性（正如我們稍後了解到的，思科是組織計分業務單元和產品以推動軟體安全計畫改進的組織之一）

編寫好的，可用的安全框架和庫，並在預設情況下將安全性內建到主要的應用程式框架中-不幸的是，在廣泛採用之前，我們不知道哪種框架會被廣泛採用，因此我們將一直追趕

將安全性納入開發人員的工作流程中–這就是sd elements所做的

在適當的地方使用waf和虛擬補丁程式–通過插入掃瞄程式發現的簡單問題來提高對攻擊的防範標準（正確使用的waf可能阻止超過2/3的web應用程式漏洞，即掃瞄程式發現的漏洞）；並確保沒有人想要嘗試手工解決和修復的遺留**，或在修復成本太高和太慢的商店中進行修復（在許多敏捷/ devops商店中，修復和部署**的速度比以前要快放入waf的補丁程式中）。

bug bounty程式–如果該程式適用於google和facebook，則可能適合您。

veracode的chris eng介紹了他們在過去18個月中為客戶進行的掃瞄收集的一些指標。對我來說有趣的是，攻擊資料（來自verizon 2011 data breach報告）與漏洞資料之間的相關性，這些交叉點突出了我們需要關注的重點。就像去年（和前一年）一樣，sql注入是主要問題：掃瞄的應用程式中有32％具有sql注入漏洞，而20％的攻擊是sql注入。

xss問題（和一些解決方案）

一天能夠部署幾次意味著他們可以高度自信地極其快速地部署新**（包括安全修補程式）。 nick還介紹了速率限制以監視和控制生產中的事件活動。我對持續部署很批評–太多嘗試遵循此模型的人將速度領先於可靠性和安全性，並不必要地使客戶面臨風險。他們不知道從網路初創公司到經營真實企業的時間。但是，如果您要嘗試此操作並想做正確的事，請向etsy學習所有內容。

安全框架和api

王晨曦的第二天主題演講強調了隔離安全**以及通過api共享和重用安全**的重要性。 netflix的jason chan和e * trade的adam migus在隨後的小組會議上對此進行了加強-與我們一樣，這兩個組織都依賴簡單，可擴充套件的安全框架或api，開發人員可以使用它們來解決身份管理，許可，加密，安全傳輸，驗證。在e * trade，他們發現大多數安全漏洞是由於開發人員未使用此**（或未正確使用它）。編寫和支援安全框架並不需要花費太多成本–一些精明的人可以為組織的其餘部分負責。如今有像apache shiro這樣的開放源**示例，我們可以用來解決許多常見的安全問題。

筆測試

出色的小組討論，涉及「筆測試人員的內心世界」，專家的筆測試人員如何思考和解決問題以及他們使用的工具（我了解了如何將burp suite和zap等多個攻擊**鏈結在一起以利用不同的優勢每個工具的優勢）。筆式測試中最重要的事情是使開發人員和管理人員對應用程式中的風險有清晰的了解：測試人員發現了哪些問題，測試人員有多嚴重，必須採取哪些措施以及如何解決這些問題來證明您已修復它們。像任何其他型別的測試一樣，筆式測試的真正價值是從測試中獲得的資訊。如果您不是從筆測試中學習，那麼如果下次測試人員返回並測試相同的系統並發現相同的問題時，您要付費嗎？

這些筆測試專家對waf有不同的看法-如果客戶有waf，則通常無需安裝即可直接安裝waf，並且對確定的攻擊者而言不會帶來太大的麻煩。但是，就像防病毒保護一樣，它可以阻止大多數偷渡式攻擊–一些大型**發現多達10％甚至20％的流量具有潛在的危險，而且良好的waf應該能夠至少捕獲一些這個的。

會議上最難忘的名言

沒有內部應用程式之類的東西。

耶利公尺·格羅斯曼（jeremiah grossman），whitehat security

您可以選中核取方塊合規性，但不能選中核取方塊安全性。

威斯康星大學麥迪遜分校的莫妮卡·布希（monica bush）

參考：

大規模應用安全

雲安全是雲計算大規模應用前提

Ant 大規模應用中的應用

鐘博雲安全是雲計算大規模應用的前提

大規模應用安全

雲安全是雲計算大規模應用前提

Ant 大規模應用中的應用

鐘博 雲安全是雲計算大規模應用的前提

相關推薦

鐘博雲安全是雲計算大規模應用的前提