作者:新思科技软件质量与安全部门高级安全架构师杨国梁
安全已被视为应用程序软件开发中最具挑战性的一部分。无论是研发团队还是管理团队都应该仔细研究最常见的应用程序安全挑战,在网络不法分子发起攻击前就提前做好防护,避免敏感数据被盗。
现在是数据时代,数据的储存和处理与软件密不可分。在当今的数字世界里,信息数据已经成为很多企业必不可少的经济生产工具。与此同时,提升软件安全性以保护重要数据的挑战与日俱增。软件应用不够安全可能会导致直接的经济损失,并且对品牌声誉、客户满意度及合规都会产生极其负面的影响。如果等到被攻击才采取措施,所有的注意力会集中在补救工作以及损害控制上,那就为时已晚。
那么企业面临的主要安全挑战是什么呢?如何克服?根据新思科技的观察和从客户那里得到的反馈,企业面临的主要挑战有以下六种:
网络安全职位人才短缺,薪水很可观。在美国,信息安全分析师在2018年的平均年薪为98350美元,而收入最高的25%分析师的工资接近127000美元。而且,根据中国在2020年7月发布的2019年城镇单位就业人员年平均工资来看,IT行业已连续四年雄踞行业榜首。相信随着企业越来越重视软件安全,优秀的软件安全专才的薪资也会水涨船高。
黑客在不断琢磨访问企业系统最简单的方法。不幸地是,即使您一直在定期测试应用程序,但因为内部资源有限,缺乏时间、技能或工具,从而无法发现所有被黑客攻击或控制的资产。攻击者还喜欢利用遗留代码中的漏洞。当开发人员重新使用已经流通了数十年的代码时,他们可能会无意间继承其技术债,其中包括安全漏洞和缺陷。
大多数公司不再遵循固定的发布周期。取而代之的是,持续集成和持续交付(CI/CD)已成为企业保持竞争力和满足客户需求的基本要求。并且这些持续发布的每一个版本功能都会带来不同级别的技术风险和业务影响,应用程序安全的编码必须能够协调和解决。
企业不仅需要处理大量频率不同的应用程序发布计划,也要顾及业务的快速发展。安全团队需要保持同步。如果没有一个完整的应用程序安全团队,但是业务需求激增,那企业只能很仓促地测试并清理代码。或者更糟的是,企业只能在软件发布后打补丁。
每种安全测试工具都有不同的优势,没有哪一款工具可以捕获一切漏洞。如果预算和资源限制,企业只能使用一个或两个安全测试工具,那就可能会错过关键漏洞。而且,如果没有能力复现和确认问题,企业可能会在误报上花费大量时间。
应用程序面临的安全状况不断变化。新的威胁和攻击大量涌现,而且新的法规提高了合规性要求。企业的软件测试和预防策略需要跟上这些变化。
面对以上软件安全挑战,企业可以做些什么?
部署软件安全计划不是一件简单的事情,有些企业会望而却步。幸运的是,还是有许多方法可以克服这些应用程序安全挑战。
比如,托管服务可以减轻安全负担,凭借按需提供的安全测试专业知识,识别业务重大漏洞,降低信息泄露风险。托管服务可以填补企业的安全资源缺口,根据当下需要选择所需的测试,包括动态应用安全测试、静态应用安全测试、渗透测试、移动应用安全测试以及托管网络安全测试等。
确保软件安全任重道远,无论是购买工具进行检测还是使用专业的托管服务,新思科技都建议企业在软件创建之初做好防护,做到安全“左移”,并贯穿在整个软件开发生命周期。
好文章,需要你的鼓励
BT 旗下宽带部门 Openreach 宣布在英国新增 163 个交换局停售传统铜线电话和宽带服务,覆盖超过 96 万户。此举旨在鼓励用户升级到全光纤网络的新型数字服务,是 Openreach 从 2025 年底到 2027 年 1 月将所有客户从公共电话交换网迁移的庞大计划的一部分。
Utelogy 与 Ascentae 达成合作,旨在通过整合服务提升 AV 和 UC 系统管理水平。基于 Microsoft Azure 平台,Utelogy 的软件可统一管理 AV 和 UC 设备,优化效率并提供数据洞察。此次合作将为客户带来创新的工作场所服务,增强协作能力和生产力。
DriveNets、富士通光组件和UfiSpace三家公司宣布完成多项测试和认证,将DriveNets Network Cloud软件与UfiSpace白盒设备结合。这一合作旨在为网络运营商提供显著的成本节省,通过将三层通信合并为单一平台,消除独立光学转发器的需求,从而减少硬件占用空间、运营开销和能耗。
Telstra International 提出了一个高度自主的网络框架愿景,旨在应对企业对云服务和人工智能日益增长的需求。该网络将具备自我管理、零接触操作、安全可靠等特性,预计到2030年实现全面升级。新网络将采用AI、机器学习等技术,大幅提升容量和灵活性,以满足未来客户需求。