作者:新思科技软件质量与安全部门高级安全架构师杨国梁
安全已被视为应用程序软件开发中最具挑战性的一部分。无论是研发团队还是管理团队都应该仔细研究最常见的应用程序安全挑战,在网络不法分子发起攻击前就提前做好防护,避免敏感数据被盗。
现在是数据时代,数据的储存和处理与软件密不可分。在当今的数字世界里,信息数据已经成为很多企业必不可少的经济生产工具。与此同时,提升软件安全性以保护重要数据的挑战与日俱增。软件应用不够安全可能会导致直接的经济损失,并且对品牌声誉、客户满意度及合规都会产生极其负面的影响。如果等到被攻击才采取措施,所有的注意力会集中在补救工作以及损害控制上,那就为时已晚。
那么企业面临的主要安全挑战是什么呢?如何克服?根据新思科技的观察和从客户那里得到的反馈,企业面临的主要挑战有以下六种:
网络安全职位人才短缺,薪水很可观。在美国,信息安全分析师在2018年的平均年薪为98350美元,而收入最高的25%分析师的工资接近127000美元。而且,根据中国在2020年7月发布的2019年城镇单位就业人员年平均工资来看,IT行业已连续四年雄踞行业榜首。相信随着企业越来越重视软件安全,优秀的软件安全专才的薪资也会水涨船高。
黑客在不断琢磨访问企业系统最简单的方法。不幸地是,即使您一直在定期测试应用程序,但因为内部资源有限,缺乏时间、技能或工具,从而无法发现所有被黑客攻击或控制的资产。攻击者还喜欢利用遗留代码中的漏洞。当开发人员重新使用已经流通了数十年的代码时,他们可能会无意间继承其技术债,其中包括安全漏洞和缺陷。
大多数公司不再遵循固定的发布周期。取而代之的是,持续集成和持续交付(CI/CD)已成为企业保持竞争力和满足客户需求的基本要求。并且这些持续发布的每一个版本功能都会带来不同级别的技术风险和业务影响,应用程序安全的编码必须能够协调和解决。
企业不仅需要处理大量频率不同的应用程序发布计划,也要顾及业务的快速发展。安全团队需要保持同步。如果没有一个完整的应用程序安全团队,但是业务需求激增,那企业只能很仓促地测试并清理代码。或者更糟的是,企业只能在软件发布后打补丁。
每种安全测试工具都有不同的优势,没有哪一款工具可以捕获一切漏洞。如果预算和资源限制,企业只能使用一个或两个安全测试工具,那就可能会错过关键漏洞。而且,如果没有能力复现和确认问题,企业可能会在误报上花费大量时间。
应用程序面临的安全状况不断变化。新的威胁和攻击大量涌现,而且新的法规提高了合规性要求。企业的软件测试和预防策略需要跟上这些变化。
面对以上软件安全挑战,企业可以做些什么?
部署软件安全计划不是一件简单的事情,有些企业会望而却步。幸运的是,还是有许多方法可以克服这些应用程序安全挑战。
比如,托管服务可以减轻安全负担,凭借按需提供的安全测试专业知识,识别业务重大漏洞,降低信息泄露风险。托管服务可以填补企业的安全资源缺口,根据当下需要选择所需的测试,包括动态应用安全测试、静态应用安全测试、渗透测试、移动应用安全测试以及托管网络安全测试等。
确保软件安全任重道远,无论是购买工具进行检测还是使用专业的托管服务,新思科技都建议企业在软件创建之初做好防护,做到安全“左移”,并贯穿在整个软件开发生命周期。
好文章,需要你的鼓励
后来广为人知的“云上奥运”这一说法,正是从这一刻起走上历史舞台。云计算这一概念,也随之被越来越多的人所熟知。乘云科技CEO郝凯对此深有感受,因为在2017年春节过后不久,他的公司开始成为阿里云的合作伙伴,加入了滚滚而来的云计算大潮中。同一年,郝凯带领团队也第一次参加了阿里云的“双11”活动,实现了800万元的销售业绩。
随着各行各业数字化变革的不断深入,人类社会正加速迈向智能化。作为智能世界和数字经济的坚实底座,数据中心也迎来了蓬勃发展。面