安全应用程序,而不是云

应用程序堆栈是新的边界

虽然这篇文章是由供应商撰写的,但并不提倡作者的雇主的特定立场,并且已经被网络世界的编辑和批准。有个足球雷竞技app

采用云计算是当今几乎所有公司的战略举措,但人们仍然对云计算的安全性存在恐惧、不确定性和疑虑,大多数都是没有根据的。根据我的经验,编码错误和应用程序漏洞是大多数安全问题的根源,无论数据驻留在何处。当涉及到云计算时,您需要把注意力放在保护应用程序上。

本地安全与云安全之间的主要区别在于,硬件设备不再能够保护定义良好的安全边界。安全团队需要从硬件定义的方法转向编程的、软件定义的解决方案。值得注意的是,云不是这种消散的唯一驱动力,移动优先的迅速兴起是另一个关键因素。

(糟糕的)应用程序安全性在暴露漏洞方面所扮演的角色不仅仅是一种直觉。通过开放Web应用程序安全项目的工作,您可以看到应用程序安全漏洞多年来一直是一个持久的威胁这一历史事实。的OWASP前十名在过去的十年中,web应用程序的漏洞列表并没有发生实质性的变化,尽管防火墙设备有所进步,但漏洞的发生速度却越来越快。

从本质上讲,安全设备不能像软件解决方案那样具有适应性,这是因为它们采用了基于边界的方法。Web应用程序防火墙(WAFs)试图通过第7层检查和策略来提高安全防御,但是同样,这些都是静态的,而不是动态的方法,并且经常会导致误报,从而阻塞合法的通信,或者更糟,允许恶意通信通过。

开发人员和后卫

在软件定义的世界中,组织在提高应用程序安全性方面所面临的最大挑战是DevOps的快速传播和对持续集成/持续交付(CI/CD)的强调。这似乎是一个让开发者和辩护者产生分歧的挑战。

开发人员总是将速度优先于安全性,因此安全性解决方案必须允许他们继续快速交付特性,并将代码和应用程序安全性测试无缝地集成到软件开发生命周期中。许多人对安全团队也有偏见,因为他们经常是部署的障碍,或者是部署后带着一长段漏洞返回的团队,这使得一个具有挑战性的环境,当然不是一个协作的环境。只有在存在需要补救的漏洞时,开发人员才需要参与,否则扫描和测试过程应该隐含在他们的日常活动中。

这一挑战的解决方案的一个重要组成部分是在开发团队和安全团队中都需要发生的文化转变。开发人员不需要成为安全专家,但是他们确实需要开始认识到将安全最佳实践集成到整个软件开发生命周期中的重要性。辩护者需要了解如何首先更有效地与开发团队协作,以及如何分享那些最佳实践,而不是推卸责任,进行有争议的对话。同理心需要被跨团队所接受,他们都需要共享整体的安全责任。

为了帮助实现这种文化转变,组织需要更多地强调应用程序安全性测试的“为什么”好处。在过去,安全团队通常只会阐明测试的“如何”部分,这与有其他优先级的开发人员没有共鸣。一旦开发人员真正理解内联补救流程的价值,以及漏洞可以在生产部署之前解决的事实,他们将更有可能与安全团队合作。

在解决了这些文化问题之后,组织需要将一个框架放置到位,该框架将持续支持安全性作为软件开发生命周期的一部分。该框架应包括:

  • 建筑——建立安全的编码实践,并定期对开源组件和第三方库进行审计。遵循您所使用的编程语言所概述的最佳安全实践。
  • 测试——利用诸如静态代码分析(SAST)和渗透测试等技术,以及诸如同级代码审查和bug奖励等程序,将安全性引入开发管道。
  • 医治——让漏洞补救成为一个连续的过程,而不是一个周期性的事件。保留根本原因分析结果的详细记录,以减少被以前的漏洞影响的可能性。
  • 风险管理——将治理、度量和报告作为最高优先级。随着时间的推移,对整个SDLC的监督将是非常有益的。

网络安全永远是整体安全架构的一部分,但我们需要“左移位优先考虑以应用程序为中心的安全性,因为应用程序栈是新的周长。随着越来越多的组织采用DevOps方法,通过自动化将重点转移到以应用程序为中心的扫描是现实的,而不是未来的。

Kail是公司的联合创始人和首席创新官Cybric。他曾是雅虎的首席信息官和基础设施高级副总裁,并被评为“Twitter上最社会化的100名首席信息官”之一。

加入网络社区有个足球雷竞技app脸谱网LinkedIn上面的评论主题思想。

版权©2017Raybet2

工资调查:结果是在