日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何著手構(gòu)建應(yīng)用安全程序?

“讓我們從頭開始,從一個很好的地方開始?!?/p>

創(chuàng)新互聯(lián)建站是一家專注于成都網(wǎng)站制作、成都網(wǎng)站設(shè)計與策劃設(shè)計,灞橋網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:灞橋等地區(qū)。灞橋做網(wǎng)站價格咨詢:028-86922220

電影《音樂之聲》中瑪利亞的建議同樣適用于構(gòu)建有效的應(yīng)用安全程序。這是充滿障礙的道路,對于尚未側(cè)重安全性的企業(yè)來說,這可能非常遙遠且復(fù)雜,甚至還無法開始。

其他企業(yè)則可能愿意部署前面的步驟,這是一件好事。Manicode Security公司聯(lián)合創(chuàng)始人Jim Manico建議:“企業(yè)需要去嘗試、犯錯,并堅持適合自己的方法?!?/p>

近日在羅馬舉行的2016年OWASP AppSec大會,專家們與來自全球各地近700名與會者探討了“從哪里開始”的問題。下面是從這些討論和對話中總結(jié)的技巧。

創(chuàng)建應(yīng)用安全程序的***步

“從管理的角度來看,企業(yè)可研究OWASP的SAMM(軟件保證成熟度模型)框架,并將從中大大受益,”Minded Security公司***執(zhí)行官Matteo Meucci建議,“SAMM帶領(lǐng)企業(yè)了解他們應(yīng)該如何管理威脅建模、如何執(zhí)行安全測試、如何執(zhí)行安全代碼審查、如何管理漏洞等。”

SAMM工具集可通過圖形說明企業(yè)擁抱應(yīng)用安全程序的能力。通過利用該儀表板,企業(yè)可建立發(fā)展成為更成熟企業(yè)的路線圖。

Meucci稱:“SAMM可很好地幫助企業(yè)了解在哪里投資以及如何改進。”

企業(yè)的應(yīng)用安全程序通常是在軟件設(shè)計和構(gòu)建后,即側(cè)重對應(yīng)用的測試。然而,在AppSec大會很多人都認(rèn)為在后期階段查看安全問題并不夠。

“有些企業(yè)從動態(tài)分析(動態(tài)應(yīng)用安全測試DAST)開始,這只是在應(yīng)用發(fā)布之前,”應(yīng)用測試公司Checkmarx產(chǎn)品營銷主管Amit Ashbel稱,“這有時候會導(dǎo)致發(fā)布延遲,而且,開發(fā)人員需要從頭來過去解決問題。實際上,你應(yīng)該在代碼編寫時靜態(tài)形勢下分析代碼,在***的動態(tài)分析應(yīng)該只是***的檢查,不會對項目帶來影響,因為漏洞已經(jīng)被修復(fù)?!?/p>

對應(yīng)用安全的靜態(tài)和動態(tài)測試

Manico對這種非此即彼的立場有著不同的看法,他指出“任何明智的應(yīng)用安全程序都應(yīng)該同時涉及靜態(tài)和動態(tài)測試”。單獨依靠任一種測試都不足夠。

Meucci同意稱這種非此即彼的做法有風(fēng)險。

“這些項目通常會失敗,”Meucci稱,“他們失敗的原因不是因為開發(fā)人員沒有時間回過頭去修復(fù)發(fā)現(xiàn)的漏洞,而是因為他們發(fā)現(xiàn)了太多漏洞不知道如何解決?!?/p>

風(fēng)險分析公司Security Innovation國際渠道銷售總監(jiān)Tony Luzza稱:“這個問題是兩面的,首先,***信息安全官(CISO)在開發(fā)生命周期的后期才得到應(yīng)用滲透測試結(jié)果,其次,他們將發(fā)現(xiàn)的結(jié)果交給不懂安全或者不具備修復(fù)漏洞技能的團隊?!?/p>

對于開發(fā)后進行測試的企業(yè),很多人都有著錯誤的假設(shè):他們可以發(fā)現(xiàn)漏洞、優(yōu)先處理它們,并在修復(fù)漏洞后可銷售軟件。這并不是成功的做法,而且可能會有漏洞未被發(fā)現(xiàn)。為什么呢?軟件團隊承受著巨大的壓力,他們要在規(guī)定時間內(nèi)推出產(chǎn)品。而且運行整個測試和發(fā)布過程是巨大的噩夢,特別是當(dāng)存在很多安全漏洞需要對軟件架構(gòu)進行更改時。

根據(jù)專家表示,***的建議是:盡早測試以及頻繁測試。在編碼階段使用靜態(tài)應(yīng)用安全測試(SAST)并使用動態(tài)測試來捕捉可能溜走的漏洞。

Ashbel稱:“企業(yè)通常忘記這并不是只使用一種類型的測試來節(jié)省資金?!?/p>

但這只是開始,想要構(gòu)建有效的應(yīng)用安全程序,還有很多工作要做。

“你應(yīng)該進行靜態(tài)測試和動態(tài)測試,但這只是成熟安全軟件開發(fā)生命周期的部分元素,”Manico稱,“還應(yīng)該考慮安全標(biāo)準(zhǔn)和要求、架構(gòu)風(fēng)險分析、設(shè)計風(fēng)險分析、DevOps基礎(chǔ)設(shè)施、安全框架和庫。考慮開發(fā)人員培訓(xùn)、測試規(guī)劃、卓越可用性中心,評估安全指標(biāo)、測試評估和成熟安全SDLC的其他方面?!?/p>
本文標(biāo)題:如何著手構(gòu)建應(yīng)用安全程序?
路徑分享:http://m.5511xx.com/article/dpjsdho.html