成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

應用安全通向未來的六個做法淺析

安全
當你與OWASP成員討論的時候,他們都認同這樣一個觀點:應用安全還有十年就發展成型了,特別是在政府層面上。

當你與OWASP成員討論的時候,他們都認同這樣一個觀點:應用安全還有十年就發展成型了,特別是在政府層面上。

該組織定期舉辦這類會議為的是能夠轉變趨勢,包括11月10日至13日期間在該國首都舉辦的2009 OWASP應用安全大會(AppSec DC)。我們有幸與OWASP成員Matt Fisher取得了聯系,同時他也是Piscis安全公司的CEO兼AppSec參與公司之一,我們將與他來一起探討今天的應用安全的問題所在,以及扭轉這一局面的六個方法。我們首先先為大家呈現一些問答,隨后會告訴大家這六個做法。

問:關于使用Web2.0企業***的問題在哪以及***的安全威脅是什么?

答:是的,“Web2.0”的形式其實與“云計算”差不多。其中***的挑戰就是我們如何對二者進行定義。“Web2.0”會涉及到編程技術,會導致瀏覽器插件的增多,以及與富網絡應用相關的客戶端技術本身已經越來越多的成為漏洞的共享者。同樣,也會涉及到應用的合作和了解,例如內部WiKi和博客。其中的危機(特別是在WiKi上)是你幾乎不能對用戶生成的內容有任何控制權。如果這樣的WIKI對于整個公司的人都開放的話,那么你就會看到公司里面的任何一個人的做法,看到他們在發送機密和不合適的內容。現在,如果提到“Web2.0”,首先意味著社交網絡應用,然后威脅就隨著而來了。你會發現,盡管你知道這些應用在過去很長時間都以“不安全”著稱,并且因蠕蟲等不好的問題而臭名昭著,但是這些應用在破壞你的在線名譽上都有很大的潛力。

問:一些OWASP成員認為政府的應用安全還有十年就會發展成熟了。請您談論一下,為什么某種意義上來說聯邦政府需要更加了解Web2.0,與私營部門相比,其危險的獨特性在哪里?

答:我認為在理解上最重要的是,來自政府的信息是必須被信任的,因為一個新興的Web應用日漸流行并不意味著對于所有的政府用途是合適的媒介。從網絡安全的角度來看,這些應用的托管本質就意味著挑戰。人們通過這些應用來交換部門或機構的信息,不能用常見的安全程序管理這些應用。除了密碼以外你沒有其他的方式來控制系統,簡言之就是你甚至不知道密碼是否被保存完好。你沒有托管數據中心,完全不能控制操作系統的安全、應用安全、網絡防御,不能做出及時的回應,你不能進行任何辯論。這就是零控制。

當然,理論上講這種風險是很低的,因為無論如何這些應用都是通過大眾傳播的。我最近讀到了一個關于這個主題的分析,當討論威脅的時候,他提到一些東西會起到影響的作用,但是完整性起到的作用并不大,因為這是一個公共的系統,但是我不太同意他的觀點。如果你像美國政府一樣正在使用這樣的網站來進行信息的交流的話,那么這些信息的完整性是極為重要的。對手在其中一個應用中找到漏洞是完全有可能的。你只能在恰當的時候在錯誤信息方面使用它,或者在進行一場心理戰役的時候使用它。想象一下,所有的人從不同的機構獲取信息到他們的手機上。現在想象一下,在一場國家災難中這些信息突然變成虛假信息。

問:讓我們回過頭來看私營部門。政府的安全漏洞對小型的企業會形成很不好的影響,反過來也一樣。能否給我們列舉一兩個Web2.0在這方面的例子。

答:對于政府來說他們與很多行業都有著合作的關系,能夠對他們進行支持,往往與這些部門和機構有著錯綜復雜的關系,有很多過去的違規例子都說明承包商讓客戶面臨危險。當然這些可以像其他的外部環境一樣也存在于Web2.0世界。

問:現在我們已經明確了應用安全所面臨的問題,能否給我們一些公共和私營部門可以用于應用安全改善現狀的做法。

答:可以遵守以下6和步驟:

1、建立一個團隊。聯邦政府等大型企業更易于受筒倉效應的影響。而一個管理良好的簡單的內部站點可以出奇地利用整個企業的專業知識。

2、讓更多的人學習專業知識。現在大多數應用安全的知識都存在于安全小組中。這在開始是好的,但是最終會員工也需要建立程序或者修復應用程序;所以,你需要也讓專家來教員工怎么做。

3、在利用工具之前先思考問題。工具確實可以自動化地完成一些任務,但是要知道它們只是協助你來完成評估的工作。即使這樣,評估也只是計劃的一部分。

4、提供指導。軟件開發者想開發出安全并且兼容的軟件;他們根本不知道怎么做。要讓標準、需求和參考模型適用于你的程序。

5、立即開始測試。在發布之前,那些周期比較晚的測試有很大的壓力,要盡量在周期比較早的時候開始測試,并讓你的評估團隊參與軟件的開發。

6、盡量多進行持續的檢測。應用程序的一個細小的變化可能造成巨大的漏洞。認真審查應用程序的細微變化,特別是面向互聯網或其他高風險的系統。

【編輯推薦】

  1. 應用安全網關 不同企業如何選擇?
  2. 應用安全 中小企業UTM構造
  3. 應用安全與微軟SDL-IT流程
責任編輯:趙寧寧 來源: 比特網
相關推薦

2022-11-15 16:54:54

2023-08-04 12:07:11

2022-02-08 13:34:22

數據分析師定基線

2023-03-02 11:51:00

數據分析師企業

2020-01-14 10:52:35

數據中心數據網絡

2024-03-07 12:54:06

數據分析師企業

2022-04-07 12:03:28

云安全CSPM云計算

2025-03-21 14:03:55

2022-02-10 19:46:19

Kubernetes云原生云安全

2024-07-15 08:10:57

2024-03-08 13:01:17

2022-05-05 10:38:13

IT 部門IT 主管業務主管

2022-06-28 10:17:23

安全職位首席信息安全官

2022-10-10 10:36:02

數字化轉型企業

2023-07-18 15:11:01

2019-02-13 15:49:00

2013-05-20 10:42:12

2022-12-29 15:20:42

2009-02-12 09:44:48

Web應用高性能習慣

2021-10-28 14:07:50

零信任網絡安全網絡攻擊
點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 日韩一级免费 | 欧美一区免费 | 日韩欧美精品一区 | 亚洲图片一区二区三区 | 欧美激情国产日韩精品一区18 | 五月天激情综合网 | 欧美日韩精品一区 | 免费观看a级毛片在线播放 黄网站免费入口 | 亚洲一区有码 | 成人激情视频免费观看 | www.国产.com | 中文字幕在线免费 | 亚洲国产精品激情在线观看 | 一区二视频 | 亚洲激情综合网 | 久久精品亚洲精品国产欧美kt∨ | 日韩一区二区三区av | 精品国产一区二区三区久久影院 | 久久久精品 | 最新国产在线 | 欧美亚洲网站 | 一区二区三区欧美在线观看 | 久久午夜精品 | 天天干天天草 | 亚洲成人播放器 | 成年人在线观看 | 日本不卡一区 | 亚洲一区二区三区在线视频 | 日本福利在线观看 | 久久人爽| 色婷婷av777 av免费网站在线 | 免费观看的黄色网址 | 天堂av中文 | 日韩2020狼一二三 | 国产精品视频免费看 | av中文字幕在线观看 | 九九色九九 | 精品国产乱码久久久久久88av | 亚洲免费网 | 午夜看电影在线观看 | 天堂色区 |