你應該首先保護哪些應用程式 這個問題本身問錯了

2021-06-29 01:44:40 字數 2337 閱讀 2560

如果貴企業與大多數企業一樣,那麼it環境中可能有數百個、乃至數千個應用程式。它們極有可能是在過去10年或20年編寫、更新和打上補丁的。你可能對那些應用程式並沒有做好足夠到位的安全工作。要說有什麼可以讓你稍稍寬慰,那就是我們採訪的每個人其實處境一模一樣。在人們不知不覺當中,安全這筆債很快會堆積如山。起初,並沒有多少人可以意識到應用程式的安全問題,一旦安全出了問題,後果有時候是很難想象的,與其坐以待斃,不如趁早尋求安全保護解決辦法,在此推薦愛加密

——移動應用安全加密保護

,專業的加密技術可以完全讓你免除後顧之憂!

不妨看一看應對這個挑戰的若干糟糕戰術:

第乙個糟糕戰術:只保護面向外部的應用程式。

這是最常見的戰術之一。由於資源有限,貴企業的團隊專注於面向外部的應用程式。這絕對是採用的最糟糕戰術之一。某個應用程式是否暴露在網際網路面前,這僅僅是決定應用程式「內在風險」的諸多因素當中的乙個。如果這是你唯一要考慮的因素,那麼大量的時間和精力就會耗費在對貴企業來說風險不是那麼高的應用程式進行深層安全審查的工作上。相反,應該考慮資料的敏感性、業務職能有多關鍵、使用者群體及攻擊者群體的數量和技能以及其他風險因素。

第二個糟糕戰術:每次只面對一種應用程式。

大多數方法試圖每次只面向一種應用程式來處理應用程式的安全。當你對應用程式執行深層安全分析時,許多時間浪費在了很小的安全漏洞上,而這些安全漏洞不太可能讓貴企業倒閉破產。每年,有更多的應用程式和更多的攻擊途徑需要考慮。所以,每年,安全團隊要做的工作越來越多。每次面向一種應用程式這個做法根本不具有可擴充套件性。相反,專注於如何杜絕你所有應用程式面臨的最重大漏洞。

第三個糟糕戰術:進行年度安全測試。

許多企業採用了「每年一次」或「每三年一次」的應用程式安全測試計畫表。這種方法需要為新的應用程式、舊的應用程式、雲應用程式和產品等制定一套複雜的計畫排程流程。如今新的安全漏洞和攻擊手法層出不窮,因而這種方法面臨極高的風險。新的**庫漏洞可能會讓應用程式完全暴露無遺,直到下一次審查才有所發現。新的安全漏洞往往迅速新增到黑客工具中,並成為廣泛的掃瞄活動的一部分。另外,現代化軟體開發流程每週或每天在發布**,而不是每年發布。安全必須加快跟上來。

第四個糟糕戰術:只保護關鍵應用程式。

另一種可能性是僅僅專注於關鍵業務型應用程式――要是這些應用程式完蛋,業務就會隨之癱瘓。考慮可能給業務造成的實際破壞是明智之舉,但是這通常僅僅牽涉一小批應用程式。在許多企業,應用程式安全團隊不堪重負、人手不足,他們的掃瞄方法並不具有可擴充套件性,處理不了任何更多的應用程式。遺憾的是,許多現實世界中的洩密事件是從不太重要的應用程式中招開始的(比如索尼事件),隨後向更重要的系統擴散和蔓延。即使「小冊子軟體」**遭到攻擊,那也將是需要收拾的爛攤子和公關災難。

所有上述戰術沒有乙個支援迅速確保應用程式安全這個更廣泛的戰略,而且與現代軟體開發不相容。我們需要這樣一種方法:可以適用於我們的全部應用程式組合,跟得上現代軟體開發的步伐,而且首先關注最大的風險。好訊息是,我們可以充分利用持續整合和持續交付等諸多理念和技術,打造一種不同的應用程式安全流程,快速、準確、簡單。

正確的問題:你的應用程式有安全儀表化機制嗎?

儀表化讓你可以直接從應用程式收集安全資訊,無需掃瞄、破解或任何其他額外的步驟。如果你的應用程式實現了儀表化,它們可以測試自己,不斷報告其狀態。這徹底改變了應用程式安全的規模問題。你沒必要去掃瞄所有應用程式,它們會測試自己,不斷地報告給你。

下面是證明儀表化魅力的乙個例子。比方說,你關注的最重要的安全問題是sql注入;你已規定,開發人員只可使用引數化查詢。很容易用資料庫介面中的一些安全儀表化機制來證實這一點。比如說,你可以對mysql庫實現儀表化,報告非引數化查詢的使用。只要把類路徑(classpath)上的statementimpl的這個版本放在實際版本前面。

雖然這是個很不起眼的例子,但頗有說服力。把這個儀表化版本推送到你的mysql庫中心,很快你就有了乙個完整的圖,可顯示貴企業中的所有非引數化查詢。設想一下:你可以用應用程式組合的安全儀表化來實現什麼。

這就是區別。儀表化應用程式會證實自己的安全,並將問題報告給你。最簡單的好處是完整的應用程式清單。你還可以證實第三方庫是最新的,不存在已知的安全漏洞。儀表化還可以確保配置檔案得到了適當的保護。更複雜的儀表化可以查明複雜的安全漏洞,以及你想對企業**庫了解的幾乎任何方面。它還持續適用於企業規模。

試圖查明先保護哪些應用程式只會浪費資源。相反,應該花時間打造你的安全儀表化能力。下乙個heartbleed或shellshock出來後,你沒必要掃瞄任何東西。你只要進入到儀表板,搜尋受影響的版本,傳送警報給受影響應用程式的專案負責人。你還能看到他們具體何時全部公升級。

在這個應用程式支援資訊後面,

根據申請文件顯示,這個最新申請到的專利系統可以基於 上的人 地點或活動情況分配標籤 使用語音命令後自動分配 同樣的,它也可以用於搜尋。有趣的是,在這個應用程式支援資訊後面,蘋果指出,雖然 拍攝和數字影象儲存技術在過去的十年中,已經獲得了很大的改進,但使用傳統方法標記可以說是不直觀的 費力和非常耗時的...

應用程式框架實戰四 你需要應用程式框架嗎

如果沒有什麼好處,不會有人願意去做,那麼,你真的需要應用程式框架嗎,它能為你帶來什麼好處?現在來了乙個專案,你可以直接開啟vs,然後就開工敲 嗎?不行,你得先建立專案,當使用了分層架構,還需要建立更多的專案,這些專案根據依賴關係進行配置。然後依次引用各種依賴元件,很多元件還需要配置,比如log4.n...

快速打包你的應用程式 Inno Setup

做一件事我們總期望能夠快速的看到成效.當你的windows程式在經常變更時 同時又要把這些變更以安裝包形式打包給使用者.這就需要乙個簡單 高效 快速的打包應用程式工具 inno setup.對於打包乙個簡單的windows程式 inno setup打包級別正好合適相當.當我們做好乙個winform程...