日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

應用安全公司Enso Security的首席架構師以及聯(lián)合創(chuàng)始人，Chen Gour-Arie發(fā)現(xiàn)了創(chuàng)業(yè)的一個重要組成部分，即反思個人發(fā)展以及行業(yè)的演變。2008年，PCI-DSS成為了以色列企業(yè)不可或缺的業(yè)務元素。那時，他參與了許多最早的認證流程，也見證了許多公司在合規(guī)性方面作出的努力。

我們擁有10多年網頁設計和網站建設經驗，從網站策劃到網站制作，我們的網頁設計師為您提供的解決方案。為企業(yè)提供做網站、成都網站建設、微信開發(fā)、微信小程序定制開發(fā)、手機網站制作設計、H5頁面制作、等業(yè)務。無論您有什么樣的網站設計或者設計方案要求，我們都將富于創(chuàng)造性的提供專業(yè)設計服務并滿足您的需求。

Chen的主要職務涉及與應用相關的PCI部分，比如滲透測試。一天下午，Chen坐在以色列一家最大的醫(yī)療保健供應商的辦公室里，回憶起曾經審查過一份冗長且似乎永無止境的問題清單，最后非但沒有解決問題，反而其團隊變得更加困惑。最后離開辦公室的時候，剩下的問題比答案還要多，也并沒有獲得任何的見解或者有用的信息。

通過這次經歷，Chen更加清楚地明白了一件事：安全標準所規(guī)定的內容對于企業(yè)來說是不可行的。不僅是在2008年，即使在今天它們也仍是不現(xiàn)實的。例如，PCI-DSS標準需要全面地收集數據，并對范圍內的資產進行多學科的評估。業(yè)界花費了多年的時間才找到了滿足PCI-DSS標準的合適策略，即隔離PCI環(huán)境。

一個流行詞誕生了

同一時間，軟件開發(fā)安全生命周期(SSDLC)成為了業(yè)界的流行詞，而這并非巧合。要將安全整合到開發(fā)的每個階段中，其前提是：從一開始就確保安全團隊的參與，以便最大限度地避免發(fā)生錯誤并保護開發(fā)過程。由于云遷移的增加以及移動應用的廣泛應用，SSDLC成為了越來越多企業(yè)的首選。它甚至在DevOps大展拳腳后，仍然存活了下來。如今SSDLC已經轉變?yōu)槲覀兘裉焖玫某掷m(xù)交付-操作循環(huán)。當隱私保護計劃如火如荼地進行時，我們再次見證了企業(yè)掌握控制標準(如GDPR)是多么的困難。然而這一次，縮小范圍并不是一個選擇。突然間，許多企業(yè)在努力滿足新條例要求的時候，都直接受到了由于糟糕的設計和安全負債而造成的影響。

對于那些二十年來一直在“撓癢癢”和“戳應用”的人來說，這并不奇怪。盡管初衷是好的，但是在所有項目的每個階段都實現(xiàn)安全性幾乎是不可能的，并且開發(fā)出對高級黑客(和滲透測試人員)有彈性的應用也變得越來越困難。說實話，開發(fā)出沒有bug并且不會宕機的應用是極具挑戰(zhàn)性的，所以監(jiān)管者以及整個行業(yè)的期望都必須得到調整。

簡單來講，企業(yè)缺乏足夠的人力資源來處理安全問題，而開發(fā)人員又過于忙碌而無暇顧及安全問題。無論是否令人感到驚訝，這個缺陷都體現(xiàn)出安全人員和開發(fā)人員之間關系的失調。

進入大腦

精英黑客，比如Solarwinds攻擊的幕后黑手，進入了開發(fā)者的思維，利用軟件開發(fā)中的弱點，進行了一個復雜的操作。入侵應用其實就是尋找開發(fā)人員必然會犯的錯誤。

理想情況下，通過適當的培訓，有效的內部溝通，注重安全性的設計以及嚴格的測試流程，這些錯誤都能被很好地控制，從而降低其所帶來的不良影響。但是，眾所周知，現(xiàn)實情況并非如此，現(xiàn)實中企業(yè)并非都能實施嚴格的防御。

許多開發(fā)者不考慮安全。他們考慮的是特性、截止日期、延展性和速度。開發(fā)者考慮生產事故以及宕機時間方面的事。但最重要的是，開發(fā)者是創(chuàng)造者，他們需要經驗，獲取客戶真實的意圖，并且主動做決定來使安全融入到他們的創(chuàng)新領域。

安全專家經常低估開發(fā)人員為保護應用而作出的努力。開發(fā)人員一邊不斷實現(xiàn)應對錯誤和失敗的不同層次的彈性，一邊不斷受到來自各個方面的困擾。而這些困擾多來自于產品，客戶成功，市場營銷和組織中所有利益相關者的無數需求。

狼來了

Chen曾經有過一個項目，需要為一個擁有一千名開發(fā)人員的公司開發(fā)一個可擴展性的程序。經過一個繁瑣的過程以及數小時的討論后，其團隊終于達成了一個安全服務級別協(xié)議。一個首席工程師笑著對Chen說：“你看，安全就喜歡中心舞臺?！彼⒖堂靼走^來：不論是無意還是有意，安全總是扮演著狼來了的角色。

另一方面，當你向開發(fā)人員展示零日漏洞時，所有人都會大叫：“救火!”一定要撲滅它。所以，無論開發(fā)人員是否相信，有些脆弱性都已經對業(yè)務連續(xù)性構成了真實的潛在威脅。也就是說，無論他們承不承認，他們都需要安全感。

所以，底線結論就是：安全生命周期不是開發(fā)人員生命周期。像威脅建模和滲透測試等活動對安全級別至關重要，但是它們也需要許多難以擴展的資源。

尤其是在SSDLC模型上運行時，管理開銷會降低你的速度。另一方面，盡管利用單純的應用安全測試自動化來收集關于軟件定量化的反饋是一個高效的策略。但是，沒有嚴格的管理以及全面的安全文化，它也不太可能會被企業(yè)采用。

安全性與軟件開發(fā)的生命周期保持一致，但是也超越了它。

盡管應用安全不斷挑戰(zhàn)包括傳統(tǒng)應用在內的所有應用，而這一點仍然成立。應用安全跨越代碼本身來評估軟件成分，CI管道以及執(zhí)行時間。無論開發(fā)是否在內部進行，應用安全都會評估開發(fā)人員作出的修改，也會持續(xù)關注新的攻擊和漏洞。

應用安全有自己的生命周期，且與開發(fā)人員的不同。

點評

盡管安全對于軟件的開發(fā)的不可或缺的，但幾乎所有的軟件開發(fā)過程都會受到安全性的“阻礙”。安全標準對于開發(fā)團隊往往是不可行的。這大多是由于安全團隊不夠了解應用安全和企業(yè)面臨的風險波動之間的關聯(lián)。加強開發(fā)團隊與安全團隊的溝通與協(xié)作，使其步調一致，才能更好地實現(xiàn)技術的進步以及安全風險的管控。

網頁題目：安全的生命周期不是開發(fā)人員的生命周期
文章分享：http://m.5511xx.com/article/djhscoc.html