日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
如何著手構(gòu)建應(yīng)用安全程序?

“讓我們從頭開始,從一個(gè)很好的地方開始。”

創(chuàng)新互聯(lián)建站是一家專注于成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)與策劃設(shè)計(jì),灞橋網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:灞橋等地區(qū)。灞橋做網(wǎng)站價(jià)格咨詢:028-86922220

電影《音樂之聲》中瑪利亞的建議同樣適用于構(gòu)建有效的應(yīng)用安全程序。這是充滿障礙的道路,對(duì)于尚未側(cè)重安全性的企業(yè)來說,這可能非常遙遠(yuǎn)且復(fù)雜,甚至還無法開始。

其他企業(yè)則可能愿意部署前面的步驟,這是一件好事。Manicode Security公司聯(lián)合創(chuàng)始人Jim Manico建議:“企業(yè)需要去嘗試、犯錯(cuò),并堅(jiān)持適合自己的方法。”

近日在羅馬舉行的2016年OWASP AppSec大會(huì),專家們與來自全球各地近700名與會(huì)者探討了“從哪里開始”的問題。下面是從這些討論和對(duì)話中總結(jié)的技巧。

創(chuàng)建應(yīng)用安全程序的***步

“從管理的角度來看,企業(yè)可研究OWASP的SAMM(軟件保證成熟度模型)框架,并將從中大大受益,”Minded Security公司***執(zhí)行官M(fèi)atteo Meucci建議,“SAMM帶領(lǐng)企業(yè)了解他們應(yīng)該如何管理威脅建模、如何執(zhí)行安全測(cè)試、如何執(zhí)行安全代碼審查、如何管理漏洞等?!?/p>

SAMM工具集可通過圖形說明企業(yè)擁抱應(yīng)用安全程序的能力。通過利用該儀表板,企業(yè)可建立發(fā)展成為更成熟企業(yè)的路線圖。

Meucci稱:“SAMM可很好地幫助企業(yè)了解在哪里投資以及如何改進(jìn)。”

企業(yè)的應(yīng)用安全程序通常是在軟件設(shè)計(jì)和構(gòu)建后,即側(cè)重對(duì)應(yīng)用的測(cè)試。然而,在AppSec大會(huì)很多人都認(rèn)為在后期階段查看安全問題并不夠。

“有些企業(yè)從動(dòng)態(tài)分析(動(dòng)態(tài)應(yīng)用安全測(cè)試DAST)開始,這只是在應(yīng)用發(fā)布之前,”應(yīng)用測(cè)試公司Checkmarx產(chǎn)品營(yíng)銷主管Amit Ashbel稱,“這有時(shí)候會(huì)導(dǎo)致發(fā)布延遲,而且,開發(fā)人員需要從頭來過去解決問題。實(shí)際上,你應(yīng)該在代碼編寫時(shí)靜態(tài)形勢(shì)下分析代碼,在***的動(dòng)態(tài)分析應(yīng)該只是***的檢查,不會(huì)對(duì)項(xiàng)目帶來影響,因?yàn)槁┒匆呀?jīng)被修復(fù)?!?/p>

對(duì)應(yīng)用安全的靜態(tài)和動(dòng)態(tài)測(cè)試

Manico對(duì)這種非此即彼的立場(chǎng)有著不同的看法,他指出“任何明智的應(yīng)用安全程序都應(yīng)該同時(shí)涉及靜態(tài)和動(dòng)態(tài)測(cè)試”。單獨(dú)依靠任一種測(cè)試都不足夠。

Meucci同意稱這種非此即彼的做法有風(fēng)險(xiǎn)。

“這些項(xiàng)目通常會(huì)失敗,”Meucci稱,“他們失敗的原因不是因?yàn)殚_發(fā)人員沒有時(shí)間回過頭去修復(fù)發(fā)現(xiàn)的漏洞,而是因?yàn)樗麄儼l(fā)現(xiàn)了太多漏洞不知道如何解決?!?/p>

風(fēng)險(xiǎn)分析公司Security Innovation國(guó)際渠道銷售總監(jiān)Tony Luzza稱:“這個(gè)問題是兩面的,首先,***信息安全官(CISO)在開發(fā)生命周期的后期才得到應(yīng)用滲透測(cè)試結(jié)果,其次,他們將發(fā)現(xiàn)的結(jié)果交給不懂安全或者不具備修復(fù)漏洞技能的團(tuán)隊(duì)。”

對(duì)于開發(fā)后進(jìn)行測(cè)試的企業(yè),很多人都有著錯(cuò)誤的假設(shè):他們可以發(fā)現(xiàn)漏洞、優(yōu)先處理它們,并在修復(fù)漏洞后可銷售軟件。這并不是成功的做法,而且可能會(huì)有漏洞未被發(fā)現(xiàn)。為什么呢?軟件團(tuán)隊(duì)承受著巨大的壓力,他們要在規(guī)定時(shí)間內(nèi)推出產(chǎn)品。而且運(yùn)行整個(gè)測(cè)試和發(fā)布過程是巨大的噩夢(mèng),特別是當(dāng)存在很多安全漏洞需要對(duì)軟件架構(gòu)進(jìn)行更改時(shí)。

根據(jù)專家表示,***的建議是:盡早測(cè)試以及頻繁測(cè)試。在編碼階段使用靜態(tài)應(yīng)用安全測(cè)試(SAST)并使用動(dòng)態(tài)測(cè)試來捕捉可能溜走的漏洞。

Ashbel稱:“企業(yè)通常忘記這并不是只使用一種類型的測(cè)試來節(jié)省資金?!?/p>

但這只是開始,想要構(gòu)建有效的應(yīng)用安全程序,還有很多工作要做。

“你應(yīng)該進(jìn)行靜態(tài)測(cè)試和動(dòng)態(tài)測(cè)試,但這只是成熟安全軟件開發(fā)生命周期的部分元素,”Manico稱,“還應(yīng)該考慮安全標(biāo)準(zhǔn)和要求、架構(gòu)風(fēng)險(xiǎn)分析、設(shè)計(jì)風(fēng)險(xiǎn)分析、DevOps基礎(chǔ)設(shè)施、安全框架和庫(kù)??紤]開發(fā)人員培訓(xùn)、測(cè)試規(guī)劃、卓越可用性中心,評(píng)估安全指標(biāo)、測(cè)試評(píng)估和成熟安全SDLC的其他方面?!?/p>
文章標(biāo)題:如何著手構(gòu)建應(yīng)用安全程序?
鏈接URL:http://www.5511xx.com/article/dpjsdho.html