ceo和那些为他们工作的技术专家说他们依赖的应用程序——尤其是那种另外由专家在银行和投资公司的财富背后,是安全的房子。
他们,如果你谈论房子在路易斯安那州墨西哥湾开始猛烈飓风和tarball。
几乎60%的所有应用程序安全性测试和风险分析公司Veracode在过去的18个月不能满足可接受的安全的最低标准,即使拨下来,以适应应用程序的标准不构成极大的安全风险,根据Samskriti国王,在公司产品营销副总裁。基于web的应用程序进行他们自己的特殊的风险。
“Web项目上有更多的人,因为他们往往更容易开发;许多组件已经可用,这样你就可以站起来Web应用程序很容易,”国王说。“开发人员教育通常侧重于应用程序生成和使用在一个地方,但Web应用程序可以接触许多地方,所以漏洞在一个组件可以体现在很多地方如果重用。”
不幸的是,开发人员培训与软件的生成和使用在一个地方与一组服务器经常不理解Web应用程序所需的预防措施,把代码,数据,和元素从许多服务器接口的,她说。
[更多背景获得基于web的应用程序,看看5与SaaS安全问题。]
典型的安全漏洞,特别是遗留或其他国产软件,必须考虑云计算机服务提供商,首席执行官Thomas Kilbin说云计算和服务器托管提供商Virtacore系统。毕竟,他说,顾客想要按需计算能力不想重写所有的应用程序只运行在一个环境为了省钱并添加方便。
“我们的顾客正在应用他们运行在后台,他们转移到私有云在大多数情况下,“Kilbin说。“他们不是开发任何应用程序只针对工作在云IaaS / SaaS模型。我们确保这些应用程序通过一个数量的方法,传统的防火墙、应用程序特定的防火墙宙斯等。”
将基于web的应用程序安全可以对较小的IT团队尤其艰难。
“云模型比共享托管threat-rich模型,主要是因为在共享主机操作系统和应用程序的核心——php、perl、mysql——保持更新的服务提供者,“Kilbin说。“在云中,客户必须保持核心操作系统更新,随着应用程序栈,除了他们的代码”。
大多数客户没有专业知识和时间,Kilbin说。
2922应用程序被Veracode过去18个月检查,结果详细的公司最近发布了软件安全状态报告:不安全软件的棘手的问题。
一些应用程序发送到Veracode的测试来自isv或公司程序员在开发的最后阶段。另一个大部分来自开发人员必须在关闭前认证或风险分析处理政府机构或监管严格的行业。
旧软件缺陷显示在Web动作
然而,越来越多的Veracode是测试软件,客户已经使用了很长一段时间还是很有信心,但是现在迁移到云或基于web的服务环境。请求通常来自公司高管被证明是错误的相信他们的安全,本土应用国产或安全,特别是当他们第一次进入多站点环境。
商业和开放源码应用程序失败Veracode的测试更多本土——分别为65%和58%。本土应用失败的54%的时间,Veracode的报告。
软件外包公司错过了马克写的一个令人惊讶的93%的时间,Veracode说。
即使应用程序被银行和金融服务公司在最初提交失败的56%的时间,尽管这些应用程序的标准更严格的,因为在这些应用程序会造成更多的破坏问题,说,在一个内部开发的应用程序服务器监控,王说。
内部开发人员不应该比较自满,不过,王说。虽然内部应用程序通常被认为是由70%国产代码,代码的重用,对象和程序是如此常见,30%至70%的本土应用程序中的代码实际上来自商业软件。
内部开发人员也莫名其妙不知道最常见的利用可能用来对抗Web-fronting应用程序,导致80%的失败率为Web应用程序,这是测试的列表10三十九位和公开发布的安全威胁打开Web应用程序安全性项目(OWASP),王说。
”在这一点上它只是涉及到开发人员教育,”国王说。
跨站点脚本是最常见的安全漏洞在所有类型的软件Veracode的测试,但是在网络和基于云的软件是最明显的,王说。
但所花费的时间解决问题,让一个应用程序可接受的安全水平已大大下降从30到80天一两年前只有16天了,主要是因为各类开发人员将更加注重安全、软件质量,并缩短上市时间,王说。
没有任何捷径,但Veracode确实有一些建议IT团队应对最一致的应用程序的安全问题:
1。设计应用假设他们会链接跨站点;确保这些链接和发布过程。
跨站点脚本(XSS)占51%的所有漏洞,根据Veracode。。net编写的应用程序有一个异常高的XSS的问题,因为许多。net控件之前不要自动加密数据发送或存储它。检查和加密所有点的输出。不足或没有加密也非-.net应用程序创建的问题,但很容易修复一次识别的数据广播的来源。
2。集中精力最大的漏洞。
你可以从任何假设软件提供商可能有漏洞,但投入额外的Q / A和安全分析工作代码编程外包服务,isv和组件从那些找到进入本土应用程序。
3所示。验证应用程序本身的安全在云或SaaS环境。
是否客户或服务提供者所提供的应用程序,检查缺陷或漏洞在一个现实的云/ SaaS /共享资源环境,不仅在局域网工作组。云平台的安全仍然在发展,技能为他们编写安全的代码并不普遍。把额外的红旗在这个项目计划的一部分。
4所示。位置无关。新标准的影响,影响的影响。
打印机管理应用程序的缺陷允许黑客起草一个激光打印机到机器人军队可能会导致头痛。会计,customer-data-management或cashflow-automation后门的应用程序可以让你的业务。使用风险水平作为乘数来确定一个特定的应用程序是多么的重要评估,和你应该花多少时间或金钱把它固定。
5。不要忽视最基本的。
列出了十大最常见的攻击Web应用程序在这里OWASP。25个最重要安全错误出现在应用程序列出在这里。它们容易阅读,有额外的帮助来解决或避免错误已经被人可能想要攻击你的系统。
在推特上跟随从CIO.com@CIOonline。
这个故事,“许多应用程序失败安全检查之前搬到云”最初发表的首席信息官 。