攻擊者在成功利用了漏洞後,因跨站指令碼攻擊和sql注入攻擊而造成的安全事件已經不再是什麼新鮮事兒了。為了防止此類攻擊的發生,安全團隊是否還抱著準備「亡羊補牢」的心態?
高效的安全專案和團隊不僅應當提供反應性的措施,而且還要積極地與內部的資訊團隊協作,構建「先發制人」的軟體安全。資訊系統和軟體**的有效安全專案往往依靠兩種自動的安全測試:靜態安全掃瞄測試和動態安全掃瞄測試。
靜態掃瞄一般在**的開發期間進行。此過程借助威脅建模和分析,對靜態**進行掃瞄,從而發現安全漏洞。動態掃瞄是對工作環境中的實際**進行的掃瞄,它在**執行期間查詢漏洞。還有第三類測試,即人工滲透測試,它主要通過白帽分析進行人為干預。真正有效的應用程式安全專案利用所有的安全掃瞄測試,其中靜態安全和動態安全掃瞄要深入到應用程式的開發過程中,並在必要時使用人工滲透測試。
有效的自動**掃瞄策略必須與it的開發團隊無縫對接。真正有效的自動安全專案的關鍵成功因素是,要求it開發團隊付出的額外工作達到最少。在應用程式的開發周期之外的**掃瞄會占用開發時間,會被認為是額外的不受歡迎的任務。
企業在成功利用安全**掃瞄專案時,面臨的主要障礙是:
人工掃瞄
要求通過api或通過web入口人工上傳**的**掃瞄,都要求額外的開發時間和工作。有時,還要求專門的編譯指令,而且為使掃瞄執行,還需要特定的軟體版本。
人工過程
開發周期之外的**掃瞄需要建立乙個掃瞄的時間表和再次掃瞄的持續時間。企業需要專用資源來管理專案,設定提醒,並按照規定日期完成掃瞄。
**範圍
誰都無法測試不知道的東西。開發周期之外的測試要求開發者上傳**,而且它依賴開發者上傳正確的**進行靜態的**掃瞄。要驗證所有的庫和**都能夠正確上傳對於維持程式安全性的團隊來說是幾乎不可能的任務。
真正有效的應用程式靜態**掃瞄和動態**掃瞄專案有四大要素:
1、本地掃瞄
鏈結到源控制系統的本地掃瞄專案現在已經不需要開發者花費時間找到**、進行專門編譯、上傳**了。正相反,**的正確位置是在源控制樹中選擇的,而且可以為所有的子檔案執行常規掃瞄。本地的動態掃瞄解決方案還可以使動態掃瞄更容易,因為安全專家不需要為掃瞄測試**商的外部工具變更防火牆規則就可以訪問測試**。
2、連續掃瞄
可以設定本地系統進行連續掃瞄,這種掃瞄不要求人工干預和上傳**。還可以配置本地系統進行更頻繁的掃瞄。
3、與開發周期緊密整合
與源控制和建設系統高度整合的掃瞄專案可以使**掃瞄充分利用許多源控制和建設系統的特性。例如,在開發者的程式版本與主**庫進行整合之前,高階開發團隊可以配置建設系統,用以傳遞某些測試入口。我們可以設定**的安全掃瞄測試,使其成為類似於效能測試或單元測試的測試入口。
4、與缺陷跟蹤系統緊密整合
現代的源控制和建設系統還應與缺陷跟蹤系統緊密整合,只有這樣,軟體缺陷就可以與特定的**版本聯絡起來。如果乙個**掃瞄專案能夠自動建立當前缺陷管理系統的缺陷,就可以節約並無縫地整合到團隊的缺陷庫中。
有效的主動安全要求**掃瞄盡可能平穩地影響應用程式的開發過程。安全掃瞄在執行時越類似目前的開發過程,開發團隊就越容易成功地連續地採用安全掃瞄
維護ASP應用程式的安全
千萬不要輕視正確配置安全設定的重要性。如果不正確配置安全設定,不但會使您的 asp 應用程式遭受不必要的篡改,而且會妨礙正當使用者訪問您的 asp 檔案。web 伺服器提供了各種方法來保護您的 asp 應用程式免受未授權的訪問和篡改。在您讀完本主題下的安全資訊之後,請花一定的時間仔細檢查一下您的 w...
確保 PHP 應用程式的安全一
web 應用程式最重要的部分是什麼?根據回答問題的人不同,對這個問題的答案可能是五花八門。業務人員需要可靠性和可伸縮性。it 支援團隊需要健壯的可維護的 終端使用者需要漂亮的使用者介面和執行任務時的高效能。但是,如果回答 安全性 那麼每個人都會同意這對 web 應用程式很重要。但是,大多數討論到此就...
確保PHP應用程式的安全 1
本教程是為至少有一年程式設計經驗的 php 開發人員編寫的。您應該了解 php 的語法和約定 這裡不解釋這些內容。有使用其他語言 比如 ruby python 和 perl 的經驗的開發人員也能夠從本教程中受益,因為這裡討論的許多規則也適用於其他語言和環境。安全性快速簡介 web 應用程式最重要的部...