2024-01-06 分類: 網(wǎng)站建設(shè)
2013 年,雅虎!遭受了一次數(shù)據(jù)泄露,暴露了30 億條(而不是10 億條)數(shù)據(jù)記錄。這種和其他代價(jià)高昂的違規(guī)行為的核心是漏洞。與雅虎的情況一樣,即使是大的玩家也可能會(huì)忽略其技術(shù)堆棧中的關(guān)鍵弱點(diǎn)。因此,軟件開發(fā)人員需要特別小心,尤其是因?yàn)殚_發(fā)團(tuán)隊(duì)負(fù)責(zé)的解決方案可能會(huì)破壞原本安全的系統(tǒng)——破壞聲譽(yù)并扼殺收入。但是,在采用軟件作為分層技術(shù)的概念時(shí),您可以系統(tǒng)地減少或消除漏洞。繼續(xù)閱讀以了解如何操作。
作為分層技術(shù)和安全性的軟件如何相交有些人可能傾向于將安全性歸于事后才考慮,例如,“這就是我們所做的。我們?nèi)绾未_保它的安全?” 但是,使用軟件分層視圖背后的原則,您可以優(yōu)先考慮安全性,并在整個(gè)開發(fā)生命周期中增強(qiáng)和維護(hù)它。
關(guān)鍵要素:質(zhì)量
將安全性識(shí)別為軟件質(zhì)量保證元素的一部分,因?yàn)榉謱蛹夹g(shù)將其置于開發(fā)過程的前沿和中心。軟件分層視圖的好處之一是每個(gè)原則在開發(fā)過程中的各個(gè)點(diǎn)不斷重申,尤其是質(zhì)量。將安全性作為質(zhì)量標(biāo)準(zhǔn)會(huì)迫使您的團(tuán)隊(duì)在各個(gè)階段一次又一次地重新評估您的應(yīng)用程序的安全性。
如何將安全性納入每個(gè)開發(fā)階段不管你是使用敏捷還是瀑布來驅(qū)動(dòng)你的開發(fā),生命周期的核心元素通常是相同的:
規(guī)劃和概念化 設(shè)計(jì)與建筑 執(zhí)行 測試和錯(cuò)誤緩解 發(fā)布和產(chǎn)品維護(hù)以下是如何在每個(gè)階段合并安全原則和功能:
規(guī)劃和概念化
在規(guī)劃和概念化階段,您可以:
通過提出以下問題來定義項(xiàng)目的安全目標(biāo),例如“最有可能針對此應(yīng)用程序施加哪些威脅,我們?nèi)绾巫柚顾鼈???確定相關(guān)的合規(guī)標(biāo)準(zhǔn)。其中可能包括《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)、《通用數(shù)據(jù)保護(hù)條例》(GDPR) 等。 根據(jù)技術(shù)和監(jiān)管標(biāo)準(zhǔn),組織您的應(yīng)用程序滿足其安全目標(biāo)所需的清單。 為參與項(xiàng)目的開發(fā)人員和其他人提供培訓(xùn)。最好不要假設(shè)他們擁有所需的知識(shí),盡早解決差距可以防止出現(xiàn)問題。設(shè)計(jì)與建筑
在設(shè)計(jì)和架構(gòu)階段,您可以:
使用威脅建模來識(shí)別攻擊面和技術(shù)。 評估設(shè)計(jì)文檔,尋找應(yīng)用程序代碼和基礎(chǔ)設(shè)施中的潛在安全問題。 密切關(guān)注可能由于自身弱點(diǎn)或與您的應(yīng)用程序交互方式而引入漏洞的第三方應(yīng)用程序。執(zhí)行
在實(shí)施階段,程序員正在對應(yīng)用程序進(jìn)行實(shí)際編碼。要在這個(gè)關(guān)鍵階段加入安全性,您可以:
提供程序員應(yīng)避免的常見錯(cuò)誤列表,例如不正確地保護(hù)未加密的密碼。 使用靜態(tài)掃描工具檢查新編寫的代碼并識(shí)別漏洞,然后再將其整合到整個(gè)應(yīng)用程序中。 手動(dòng)檢查代碼以查找漏洞。這可能需要一些時(shí)間,但手動(dòng)審查可以發(fā)現(xiàn)自動(dòng)化系統(tǒng)尚未編程識(shí)別的問題。測試和錯(cuò)誤緩解
您不僅可以測試應(yīng)用程序以查看它在此階段的運(yùn)行情況,還可以檢查它是否存在漏洞。為此,您可以:
使用模擬黑客攻擊的動(dòng)態(tài)應(yīng)用程序掃描工具 (DAST)。您還可以使用交互式應(yīng)用程序安全測試 (IAST) 工具來減少誤報(bào)的數(shù)量。將 DAST 與 IAST 結(jié)合使用,您不僅可以識(shí)別漏洞的存在,還可以識(shí)別漏洞的來源。 模糊測試您的應(yīng)用程序,這涉及生成隨機(jī)輸入并查看應(yīng)用程序的運(yùn)行情況。 使用滲透測試,即您邀請第三方安全專家團(tuán)隊(duì)來模擬對您的應(yīng)用程序的攻擊。發(fā)布和產(chǎn)品維護(hù)
產(chǎn)品上線后,您必須確??蛻粝硎馨踩捏w驗(yàn)。雖然很難控制誰升級到更新、更安全的應(yīng)用版本,但您可以采取一些措施來增強(qiáng)安全性,例如:
監(jiān)控應(yīng)用程序的整個(gè)生態(tài)系統(tǒng)是否存在攻擊。 創(chuàng)建事件響應(yīng)策略,概述如果應(yīng)用程序或其基礎(chǔ)設(shè)施受到不同類型的攻擊,您的安全團(tuán)隊(duì)將采取什么措施。 執(zhí)行持續(xù)的安全檢查。通過采取這些步驟,您可以保護(hù)您的產(chǎn)品、其用戶和用戶的設(shè)備。您還可以保護(hù)組織的聲譽(yù)及其開發(fā)團(tuán)隊(duì),同時(shí)大限度地提高最終用戶體驗(yàn)。要掌握最新的網(wǎng)絡(luò)安全發(fā)展、工具和策略,您可以聯(lián)系 IEEE 計(jì)算機(jī)協(xié)會(huì)。作為技術(shù)前沿的專業(yè)人士協(xié)會(huì),IEEE 計(jì)算機(jī)協(xié)會(huì)是獲取最新和最偉大技術(shù)見解的動(dòng)態(tài)資源。
網(wǎng)站欄目:作為分層技術(shù)和安全性的軟件如何相交?如何將安全性納入每個(gè)開發(fā)階段?
URL地址:http://jinyejixie.com/news34/312334.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供做網(wǎng)站、品牌網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)公司、靜態(tài)網(wǎng)站、微信公眾號、移動(dòng)網(wǎng)站建設(shè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容