大部分的互聯(lián)網(wǎng)企業(yè)都有涉及到軟件開(kāi)發(fā)�����,通過(guò)專(zhuān)業(yè)的工程師開(kāi)發(fā)自身的產(chǎn)品并不斷根據(jù)用戶(hù)體驗(yàn)優(yōu)化���,是很多互聯(lián)網(wǎng)企業(yè)的生存之道����。但目前很多開(kāi)發(fā)人員的安全開(kāi)發(fā)意識(shí)或技能不足��,往往關(guān)注于業(yè)務(wù)本身,對(duì)安全方面有所忽視���。導(dǎo)致開(kāi)發(fā)的產(chǎn)品具有安全漏洞,容易為競(jìng)爭(zhēng)對(duì)手或黑客所利用,給公司帶來(lái)巨大損失��,今天就來(lái)談?wù)勅绾芜M(jìn)行安全的軟件開(kāi)發(fā)�。
(網(wǎng)絡(luò)安全)
超過(guò)50%的安全漏洞由錯(cuò)誤的編碼產(chǎn)生,開(kāi)發(fā)人員一般安全開(kāi)發(fā)意識(shí)和安全開(kāi)發(fā)技能不足,更加關(guān)注業(yè)務(wù)功能的實(shí)現(xiàn),想要確保Web應(yīng)用程序在交付之前和交付之后都是安全的,就需要利用Web應(yīng)用安全測(cè)試技術(shù)識(shí)別程序中架構(gòu)的薄弱點(diǎn)和漏洞�。值得一提的是�,近年來(lái)開(kāi)發(fā)模式的演進(jìn)帶來(lái)Web應(yīng)用安全測(cè)試新挑戰(zhàn)�����。從過(guò)去的傳統(tǒng)開(kāi)發(fā)模式�,到敏捷開(kāi)發(fā)�,再到DevOps,都涉及到設(shè)計(jì)、開(kāi)發(fā)��、測(cè)試和部署環(huán)節(jié)����,每一個(gè)環(huán)節(jié)都面臨安全問(wèn)題;眾多產(chǎn)品需要逐個(gè)排隊(duì)進(jìn)行安全檢測(cè),并由安全團(tuán)隊(duì)專(zhuān)門(mén)負(fù)責(zé)運(yùn)行,復(fù)雜產(chǎn)品臨近版本發(fā)布才出檢測(cè)結(jié)果�,一般沒(méi)有足夠時(shí)間去分析和修復(fù)發(fā)現(xiàn)的問(wèn)題�,綜上種種���,常規(guī)源代碼審核工具成為效率瓶頸���。
Web應(yīng)用安全測(cè)試技術(shù)經(jīng)過(guò)多年發(fā)展取得巨大進(jìn)步�,目前業(yè)界公認(rèn)最前沿的技術(shù)為“IAST”�,交互式應(yīng)用安全測(cè)試技術(shù),被Gartner公司列為信息安全領(lǐng)域的Top10技術(shù)之一���。“IAST”技術(shù)融合了SAST和DAST技術(shù)的優(yōu)點(diǎn),漏洞檢出率極高���、誤報(bào)率極低,同時(shí)可以定位到API接口和代碼片段�����,整個(gè)過(guò)程無(wú)需安全專(zhuān)家介入�,無(wú)需額外安全測(cè)試時(shí)間投入,不會(huì)對(duì)現(xiàn)有開(kāi)發(fā)流程造成任何影響���,符合敏捷開(kāi)發(fā)和DevOps模式下軟件產(chǎn)品快速迭代、快速交付的要求�����。
目前已經(jīng)開(kāi)發(fā)出基于“IAST”技術(shù)的IAST代碼審查系統(tǒng)����,該系統(tǒng)主要由三部分組成:核心檢測(cè)能力,平臺(tái)基礎(chǔ)功能和外部集成接口���。其中核心檢測(cè)能力基于交互式應(yīng)用安全檢測(cè)技術(shù)實(shí)現(xiàn),包括服務(wù)端和檢測(cè)探針;平臺(tái)基礎(chǔ)功能則提供了各類(lèi)豐富的操作功能�,包括組織結(jié)構(gòu)配置����、權(quán)限分配�����、安全弱點(diǎn)檢測(cè)管理、統(tǒng)計(jì)分析等;外部集成接口為平臺(tái)與其他研發(fā)過(guò)程中的系統(tǒng)對(duì)接預(yù)留接口。
代碼審查系統(tǒng)分為服務(wù)端和檢測(cè)端兩類(lèi),采用B/S的架構(gòu)部署,服務(wù)端部署在內(nèi)網(wǎng)服務(wù)器上���,其內(nèi)置了關(guān)系數(shù)據(jù)庫(kù)、NoSQL數(shù)據(jù)庫(kù)及異步消息隊(duì)列服務(wù);檢測(cè)端Agent直接植入到被測(cè)試應(yīng)用微服務(wù)Docker容器中,對(duì)開(kāi)發(fā)和測(cè)試人員無(wú)感知���。
當(dāng)前整個(gè)社會(huì)都在經(jīng)歷數(shù)字化轉(zhuǎn)型,安全是企業(yè)業(yè)務(wù)數(shù)字轉(zhuǎn)型的關(guān)鍵���,安全不再是單純的技術(shù)問(wèn)題,而是業(yè)務(wù)與風(fēng)險(xiǎn)問(wèn)題�����。作為信息安全責(zé)任主體,第一要從根源入手���,排查和整改網(wǎng)絡(luò)安全隱患及漏洞,依據(jù)《網(wǎng)絡(luò)安全法》��、《國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》等要求����,加強(qiáng)安全管理和技術(shù)防護(hù);第二要加強(qiáng)內(nèi)外網(wǎng)的數(shù)據(jù)流量實(shí)時(shí)監(jiān)控,通過(guò)管理和技術(shù)手段進(jìn)行防范攻擊;第三對(duì)于數(shù)據(jù)庫(kù)和應(yīng)用軟件使用�,加強(qiáng)管理�����,尤其是重要軟件要積極開(kāi)展第三方安全檢測(cè),提升運(yùn)維安全水平�。企業(yè)信息安全建設(shè)的根本愿景���,是保障企業(yè)的業(yè)務(wù)的安全可持續(xù)性發(fā)展�,保證企業(yè)利益相關(guān)者生命�����、財(cái)產(chǎn)安全的延續(xù),實(shí)現(xiàn)這一愿景是包括企業(yè)、用戶(hù)和安全廠商在內(nèi)的共同的目標(biāo)!
企業(yè)通訊
