如果貴企業(yè)與大多數(shù)企業(yè)一樣，那么IT環(huán)境中可能有數(shù)百個、乃至數(shù)千個應(yīng)用程序。它們極有可能是在過去10年或20年編寫、更新和打上補(bǔ)丁的。你可能對那些應(yīng)用程序并沒有做好足夠到位的安全工作。要說有什么可以讓你稍稍寬慰，那就是我們采訪的每個人其實(shí)處境一模一樣。在人們不知不覺當(dāng)中，安全這筆債很快會堆積如山。起初，并沒有多少人可以意識到應(yīng)用程序的安全問題，一旦安全出了問題，后果有時候是很難想象的，與其坐以待斃，不如趁早尋求安全保護(hù)解決辦法，在此推薦愛加密——移動應(yīng)用安全加密保護(hù)，專業(yè)的加密技術(shù)可以完全讓你免除后顧之憂！

成都創(chuàng)新互聯(lián)是一家專注于成都網(wǎng)站設(shè)計、成都網(wǎng)站制作與策劃設(shè)計,陽曲網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:陽曲等地區(qū)。陽曲做網(wǎng)站價格咨詢:18980820575

       不妨看一看應(yīng)對這個挑戰(zhàn)的若干糟糕戰(zhàn)術(shù)：

    第一個糟糕戰(zhàn)術(shù)：只保護(hù)面向外部的應(yīng)用程序。

      這是最常見的戰(zhàn)術(shù)之一。由于資源有限，貴企業(yè)的團(tuán)隊(duì)專注于面向外部的應(yīng)用程序。這絕對是采用的最糟糕戰(zhàn)術(shù)之一。某個應(yīng)用程序是否暴露在互聯(lián)網(wǎng)面前，這僅僅是決定應(yīng)用程序“內(nèi)在風(fēng)險”的諸多因素當(dāng)中的一個。如果這是你唯一要考慮的因素，那么大量的時間和精力就會耗費(fèi)在對貴企業(yè)來說風(fēng)險不是那么高的應(yīng)用程序進(jìn)行深層安全審查的工作上。相反，應(yīng)該考慮數(shù)據(jù)的敏感性、業(yè)務(wù)職能有多關(guān)鍵、用戶群體及***者群體的數(shù)量和技能以及其他風(fēng)險因素。

    第二個糟糕戰(zhàn)術(shù)：每次只面對一種應(yīng)用程序。

      大多數(shù)方法試圖每次只面向一種應(yīng)用程序來處理應(yīng)用程序的安全。當(dāng)你對應(yīng)用程序執(zhí)行深層安全分析時，許多時間浪費(fèi)在了很小的安全漏洞上，而這些安全漏洞不太可能讓貴企業(yè)倒閉破產(chǎn)。每年，有更多的應(yīng)用程序和更多的***途徑需要考慮。所以，每年，安全團(tuán)隊(duì)要做的工作越來越多。每次面向一種應(yīng)用程序這個做法根本不具有可擴(kuò)展性。相反，專注于如何杜絕你所有應(yīng)用程序面臨的最重大漏洞。

     第三個糟糕戰(zhàn)術(shù)：進(jìn)行年度安全測試。

      許多企業(yè)采用了“每年一次”或“每三年一次”的應(yīng)用程序安全測試計劃表。這種方法需要為新的應(yīng)用程序、舊的應(yīng)用程序、云應(yīng)用程序和產(chǎn)品等制定一套復(fù)雜的計劃調(diào)度流程。如今新的安全漏洞和***手法層出不窮，因而這種方法面臨極高的風(fēng)險。新的代碼庫漏洞可能會讓應(yīng)用程序完全暴露無遺，直到下一次審查才有所發(fā)現(xiàn)。新的安全漏洞往往迅速添加到***工具中，并成為廣泛的掃描活動的一部分。另外，現(xiàn)代化軟件開發(fā)流程每周或每天在發(fā)布代碼，而不是每年發(fā)布。安全必須加快跟上來。

    第四個糟糕戰(zhàn)術(shù)：只保護(hù)關(guān)鍵應(yīng)用程序。

      另一種可能性是僅僅專注于關(guān)鍵業(yè)務(wù)型應(yīng)用程序――要是這些應(yīng)用程序完蛋，業(yè)務(wù)就會隨之癱瘓?？紤]可能給業(yè)務(wù)造成的實(shí)際破壞是明智之舉，但是這通常僅僅牽涉一小批應(yīng)用程序。在許多企業(yè)，應(yīng)用程序安全團(tuán)隊(duì)不堪重負(fù)、人手不足，他們的掃描方法并不具有可擴(kuò)展性，處理不了任何更多的應(yīng)用程序。遺憾的是，許多現(xiàn)實(shí)世界中的泄密事件是從不太重要的應(yīng)用程序中招開始的(比如索尼事件)，隨后向更重要的系統(tǒng)擴(kuò)散和蔓延。即使“小冊子軟件”網(wǎng)站遭到***，那也將是需要收拾的爛攤子和公關(guān)災(zāi)難。

      所有上述戰(zhàn)術(shù)沒有一個支持迅速確保應(yīng)用程序安全這個更廣泛的戰(zhàn)略，而且與現(xiàn)代軟件開發(fā)不兼容。我們需要這樣一種方法：可以適用于我們的全部應(yīng)用程序組合，跟得上現(xiàn)代軟件開發(fā)的步伐，而且首先關(guān)注大的風(fēng)險。好消息是，我們可以充分利用持續(xù)集成和持續(xù)交付等諸多理念和技術(shù)，打造一種不同的應(yīng)用程序安全流程，快速、準(zhǔn)確、簡單。

    正確的問題：你的應(yīng)用程序有安全儀表化機(jī)制嗎?

      儀表化讓你可以直接從應(yīng)用程序收集安全信息，無需掃描、破解或任何其他額外的步驟。如果你的應(yīng)用程序?qū)崿F(xiàn)了儀表化，它們可以測試自己，不斷報告其狀態(tài)。這徹底改變了應(yīng)用程序安全的規(guī)模問題。你沒必要去掃描所有應(yīng)用程序，它們會測試自己，不斷地報告給你。

      下面是證明儀表化魅力的一個例子。比方說，你關(guān)注的最重要的安全問題是SQL注入;你已規(guī)定，開發(fā)人員只可使用參數(shù)化查詢。很容易用數(shù)據(jù)庫接口中的一些安全儀表化機(jī)制來證實(shí)這一點(diǎn)。比如說，你可以對MySQL庫實(shí)現(xiàn)儀表化，報告非參數(shù)化查詢的使用。只要把類路徑(classpath)上的StatementImpl的這個版本放在實(shí)際版本前面。

      雖然這是個很不起眼的例子，但頗有說服力。把這個儀表化版本推送到你的MySQL庫中心，很快你就有了一個完整的圖，可顯示貴企業(yè)中的所有非參數(shù)化查詢。設(shè)想一下：你可以用應(yīng)用程序組合的安全儀表化來實(shí)現(xiàn)什么。

      這就是區(qū)別。儀表化應(yīng)用程序會證實(shí)自己的安全，并將問題報告給你。最簡單的好處是完整的應(yīng)用程序清單。你還可以證實(shí)第三方庫是最新的，不存在已知的安全漏洞。儀表化還可以確保配置文件得到了適當(dāng)?shù)谋Ｗo(hù)。更復(fù)雜的儀表化可以查明復(fù)雜的安全漏洞，以及你想對企業(yè)代碼庫了解的幾乎任何方面。它還持續(xù)適用于企業(yè)規(guī)模。

      試圖查明先保護(hù)哪些應(yīng)用程序只會浪費(fèi)資源。相反，應(yīng)該花時間打造你的安全儀表化能力。下一個Heartbleed或Shellshock出來后，你沒必要掃描任何東西。你只要進(jìn)入到儀表板，搜尋受影響的版本，發(fā)送警報給受影響應(yīng)用程序的項(xiàng)目負(fù)責(zé)人。你還能看到他們具體何時全部升級。

創(chuàng)新互聯(lián)www.cdcxhl.cn，專業(yè)提供香港、美國云服務(wù)器，動態(tài)BGP最優(yōu)骨干路由自動選擇，持續(xù)穩(wěn)定高效的網(wǎng)絡(luò)助力業(yè)務(wù)部署。公司持有工信部辦法的idc、isp許可證， 機(jī)房獨(dú)有T級流量清洗系統(tǒng)配攻擊溯源，準(zhǔn)確進(jìn)行流量調(diào)度，確保服務(wù)器高可用性。佳節(jié)活動現(xiàn)已開啟，新人活動云服務(wù)器買多久送多久。

網(wǎng)站名稱：你應(yīng)該首先保護(hù)哪些應(yīng)用程序?這個問題本身問錯了!-創(chuàng)新互聯(lián)
文章轉(zhuǎn)載：http://weahome.cn/article/dhpioo.html