在團隊,產品,業務部門之間使用同伴壓力和計分卡–通過競爭提高更好的應用程式安全性(正如我們稍後了解到的,思科是組織計分業務單元和產品以推動軟體安全計畫改進的組織之一)
編寫好的,可用的安全框架和庫,並在預設情況下將安全性內建到主要的應用程式框架中-不幸的是,在廣泛採用之前,我們不知道哪種框架會被廣泛採用,因此我們將一直追趕
將安全性納入開發人員的工作流程中–這就是sd elements所做的
在適當的地方使用waf和虛擬補丁程式–通過插入掃瞄程式發現的簡單問題來提高對攻擊的防範標準(正確使用的waf可能阻止超過2/3的web應用程式漏洞,即掃瞄程式發現的漏洞); 並確保沒有人想要嘗試手工解決和修復的遺留**,或在修復成本太高和太慢的商店中進行修復(在許多敏捷/ devops商店中,修復和部署**的速度比以前要快放入waf的補丁程式中)。
bug bounty程式–如果該程式適用於google和facebook,則可能適合您。
veracode的chris eng介紹了他們在過去18個月中為客戶進行的掃瞄收集的一些指標。 對我來說有趣的是,攻擊資料(來自verizon 2011 data breach報告 )與漏洞資料之間的相關性,這些交叉點突出了我們需要關注的重點。 就像去年(和前一年)一樣,sql注入是主要問題:掃瞄的應用程式中有32%具有sql注入漏洞,而20%的攻擊是sql注入。
xss問題(和一些解決方案)
一天能夠部署幾次意味著他們可以高度自信地極其快速地部署新**(包括安全修補程式)。 nick還介紹了速率限制以監視和控制生產中的事件活動。 我對持續部署很批評–太多嘗試遵循此模型的人將速度領先於可靠性和安全性,並不必要地使客戶面臨風險 。 他們不知道從網路初創公司到經營真實企業的時間。 但是,如果您要嘗試此操作並想做正確的事, 請向etsy學習所有內容 。
安全框架和api
王晨曦的第二天主題演講強調了隔離安全**以及通過api共享和重用安全**的重要性。 netflix的jason chan和e * trade的adam migus在隨後的小組會議上對此進行了加強-與我們一樣,這兩個組織都依賴簡單,可擴充套件的安全框架或api,開發人員可以使用它們來解決身份管理,許可,加密,安全傳輸,驗證。 在e * trade,他們發現大多數安全漏洞是由於開發人員未使用此**(或未正確使用它)。 編寫和支援安全框架並不需要花費太多成本–一些精明的人可以為組織的其餘部分負責。 如今有像apache shiro這樣的開放源**示例,我們可以用來解決許多常見的安全問題。
筆測試
出色的小組討論,涉及「筆測試人員的內心世界」,專家的筆測試人員如何思考和解決問題以及他們使用的工具(我了解了如何將burp suite和zap等多個攻擊**鏈結在一起以利用不同的優勢每個工具的優勢)。 筆式測試中最重要的事情是使開發人員和管理人員對應用程式中的風險有清晰的了解:測試人員發現了哪些問題,測試人員有多嚴重,必須採取哪些措施以及如何解決這些問題來證明您已修復它們。 像任何其他型別的測試一樣,筆式測試的真正價值是從測試中獲得的資訊 。 如果您不是從筆測試中學習,那麼如果下次測試人員返回並測試相同的系統並發現相同的問題時,您要付費嗎?
這些筆測試專家對waf有不同的看法-如果客戶有waf,則通常無需安裝即可直接安裝waf,並且對確定的攻擊者而言不會帶來太大的麻煩。 但是,就像防病毒保護一樣,它可以阻止大多數偷渡式攻擊–一些大型**發現多達10%甚至20%的流量具有潛在的危險,而且良好的waf應該能夠至少捕獲一些這個的。
會議上最難忘的名言
沒有內部應用程式之類的東西。
耶利公尺·格羅斯曼(jeremiah grossman),whitehat security
您可以選中核取方塊合規性,但不能選中核取方塊安全性。
威斯康星大學麥迪遜分校的莫妮卡·布希(monica bush)
參考:
雲安全是雲計算大規模應用前提
上週雲儲存服務商dropbox遭遇了一次嚴重的安全問題,任何使用者的帳號不用密碼就可以直接訪問。問題與程式 有關,dropbox在當天更新了 結果引進了乙個影響認證系統的bug 直至4小時後他們才發現問題,並立即進行了修正。官方部落格證實,已經向在此期待登入的帳號傳送了電子郵件通知,dropbox公...
Ant 大規模應用中的應用
large scale 的應用通常意味著 目錄較多,層次較深 依賴較多,構建指令碼依賴的第三方ant task,專案依賴的第三方庫等 測試較多,構建時間反饋週期較長 需要在不同作業系統上執行 需要在不同團隊成員的機器上執行 由於以上原因,導致ant指令碼較長 通常有兩種風格的解決方案 一是使用ant...
鐘博 雲安全是雲計算大規模應用的前提
本文講的是鐘博 雲安全是雲計算大規模應用的前提,5月20日訊息,第三屆 雲計算大會今天繼續在北京國家會議中心舉行。在今天下午進行的 雲計算環境下的資訊保安專題論壇中,衛士通總經理助理兼戰略合作部總經理鐘博做了 雲環境下的安全體系架構 主題演講。他表示,雲計算時代的到來是無法迴避的事實,雲的設計要安全...