1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. Delphi/Perl

应用程序安全怎样来提供保障.docxVIP

应用程序安全怎样来提供保障.docx

    1. 1、本文档共6页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    ??

    ?

    ??

    应用程序安全怎样来提供保障

    ?

    ??

    ?

    ?

    ?

    ?

    ?

    ?

    ?

    ???

    ?

    ?

    ?

    ?

    ?

    ?

    ?

    随着网络威胁变得更加强大和普遍,组织时刻检查应用程序中的安全漏洞至关重要。

    应用程序安全性是通过查找、修复和增强应用程序安全性来使应用程序更安全的过程。这大部分发生在其开发阶段,但其中包括在应用程序部署后对其进行保护的一些工具和方法。随着黑客越来越多地攻击组织采用的应用程序,这一点变得越来越重要。

    应用程序的安全性引起了很多关注。数百种工具可用于保护应用程序组合的各种元素,从锁定编码更改到评估无意的编码威胁,评估加密选项以及审核权限和访问权限。如今具有专门的工具用于移动应用程序、基于网络的应用程序以及专门为网络应用程序设计的防火墙。

    为什么应用程序安全很重要

    根据Veracode公司发布的软件安全状态第10卷调查报告,在该公司测试的85000个应用程序中,83%的应用程序至少有一个安全漏洞。很多应用程序拥有更多的漏洞,因为他们的研究发现这些应用程序中总共有1000万个漏洞,20%的应用程序至少有一个很严重的漏洞。并非所有这些漏洞都会带来重大的安全风险,但其数量之多令人不安。

    在软件开发过程中,组织发现并修复安全问题的速度越快,其业务就越安全。因为每个人都会犯错误,所以组织面临的挑战是及时发现这些错误。例如,一个常见的编码错误可能允许未经验证的输入。这个错误可能会变成SQL注入攻击,如果黑客发现之后就会导致数据泄漏。

    集成到应用程序开发环境中的应用程序安全工具可以使此过程和工作流更简单、更有效。如果组织正在进行合规性审核,这些工具也很有用,因为它们可以在审核人员看到问题之前发现问题,从而节省时间和费用。

    在过去几年中,企业应用程序的构建方式不断变化,这推动了应用程序安全领域的快速增长。如今,IT部门需要数月时间来完善需求、构建和测试原型,并将最终产品交付给最终用户的日子已经一去不复返了。现在这个想法似乎有些过时。

    取而代之的是,组织如果采用持续部署和持续集成的新的工作方法,这些方法每天(有时是每小时)优化应用程序。这意味着安全工具必须在这个瞬息万变的世界中工作,并迅速发现代码问题。

    调研机构Gartner公司在2018年9月发布的有关应用程序安全炒作周期报告中表示,IT管理人员需要识别常见的应用程序开发安全性错误,并防止常见的攻击技术。他们提供了十几种不同类别的产品,并描述他们在“炒作周期”中的位置。

    其中许多类别仍在出现,并采用相对较新的产品。这表明,随着威胁变得更加复杂、更加难以发现,并且对企业的网络、数据和企业声誉的潜在损害更加严重,市场正在迅速发展。

    应用程序的安全工具

    虽然应用安全软件产品种类繁多,但问题的关键在于两个方面:安全测试工具和应用屏蔽产品。前者拥有一个较为成熟的市场,拥有数十家知名厂商,其中一些是软件行业的巨头,如IBM、CA和MicroFocus。这些工具非常完善,以至于Gartner公司创建了其魔力象限,并对其重要性和成功进行了分类。诸如IT中心站之类的评论网站也已经能够对这些供应商进行调查和排名。

    Gartner公司将安全测试工具分为几个大类,它们对于确定保护应用程序组合所需的方式很有帮助:

    ?静态测试,在开发过程中的固定点分析代码。这对于开发人员在编写代码时检查他们的代码很有用,以确保在开发过程中引入安全性问题。

    ?动态测试,它分析正在运行的代码。这更有用,因为它可以模拟对生产系统的攻击,并揭示使用系统组合的更复杂的攻击模式。

    ?交互式测试,结合了静态和动态测试的元素。

    ?移动测试是专门为移动环境设计的,可以检查攻击者如何利用移动操作系统及其上运行的所有应用程序。

    查看测试工具的另一种方法是如何通过内部部署工具或通过基于SaaS的订阅服务(在其中提交代码进行在线分析)来交付它们。有些甚至两者都做。

    一个警告是每个测试供应商都支持的编程语言。有些将其工具限制为仅一种或两种语言(通常Java是一个安全的选择)。其他人更多地参与Microsoft.Net领域。集成开发环境(IDE)也是如此:某些工具可以作为这些集成开发环境(IDE)的插件或扩展来运行,因此测试代码就像单击按钮一样简单。

    另一个问题是,任何工具是与其他测试结果隔离的,还是可以将它们合并到自己的分析中。IBM公司是少数几个可以从手工代码审查、渗透测试、漏洞评估和竞争对手测试中导入发现的公司之一。这可能会有帮助,特别是如果企业有多个工具需要跟踪。

    此外,不要忘记应用屏蔽工具。这些工具的主要目的是加强应用程序的安全性,从而使攻击更加困难。这是一个不太明确的地区。在这里,会发现大量小型点产品的集合,在许多情况下,这些产品的历史和客户群都很有限。这些产品的目标不仅是测试漏洞,还可以积极防止组织的应用程序损坏或受到破坏。它们

    您可能关注的文档

    最近下载

    文档评论(0)

    158****0330 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >