資訊專欄INFORMATION COLUMN
摘要:所有即使是公司制定了最嚴(yán)格的代碼安全規(guī)范同時(shí)每個(gè)程序員都有能并完美執(zhí)行了安全編碼規(guī)范,也只能解決最多的潛在問(wèn)題。大型為了確保安全還可以采用滲透測(cè)試和分析公司提出來(lái)的一項(xiàng)新興技術(shù),稱運(yùn)行應(yīng)用程序自我保護(hù)功能。
盡管像銀行、大型電商以及政府等大型機(jī)構(gòu)在確保程序員寫出最安全的軟件上付出了巨大的努力:比如雇傭最有經(jīng)驗(yàn)的程序員,使用昂貴的代碼分析工具等等。但是媒體頭條上還是經(jīng)常可以看到大型組織出現(xiàn)的安全事故。
這的確讓很多企業(yè)非常沮喪,管理者都可能在想同樣的問(wèn)題:為什么付出這么多努力還是不能確保系統(tǒng)安全呢?是什么原因?qū)е逻@樣的情況發(fā)生呢?本文從6個(gè)方面來(lái)解釋為什么編寫安全的代碼只能解決安全的一小部分問(wèn)題:
1,確保自己代碼安全只是冰山一角
現(xiàn)代軟件尤其是大型的銀行系統(tǒng)軟件都是由自己的編寫的代碼、開(kāi)源軟件、第三方提供的組件以及軟件開(kāi)發(fā)框架組成,現(xiàn)在幾乎沒(méi)有純粹使用自己的編寫的軟件就能完成一個(gè)系統(tǒng),這無(wú)論從軟件思想和ROI方面考慮都是不現(xiàn)實(shí)的。研究標(biāo)明通常一個(gè)現(xiàn)代軟件里完全由本公司程序員編寫的代碼只占所有代碼的10%到30%。所有即使是公司制定了最嚴(yán)格的代碼安全規(guī)范同時(shí)每個(gè)程序員都有能并完美執(zhí)行了安全編碼規(guī)范,也只能解決最多20%的潛在問(wèn)題。 這些僅僅只是冰山一角。
2,應(yīng)用系統(tǒng)大部分代碼安全不可控
根據(jù)金融機(jī)構(gòu)的統(tǒng)計(jì)數(shù)據(jù),大部分銀行最少也有一般的軟件系統(tǒng)都是從第三方買來(lái)的,有可能在買來(lái)的系統(tǒng)中做一些定制化的修改。這些軟件通常是不提供源代碼,所以企業(yè)也很難確保這些買來(lái)的軟件的開(kāi)發(fā)過(guò)程遵守安全代碼開(kāi)發(fā)最佳實(shí)踐。正如我們所看到的,過(guò)去兩年,許多知名度非常高的安全事故都是攻擊第三方應(yīng)用和IT供應(yīng)量的漏洞。這個(gè)趨勢(shì)會(huì)越來(lái)越明顯。
3,想修補(bǔ)了已經(jīng)為時(shí)已晚
在項(xiàng)目啟動(dòng)就制定并執(zhí)行最佳代碼安全實(shí)踐效果是最理想的,但是不幸的在大部分大型項(xiàng)目開(kāi)發(fā),等意識(shí)到需要代碼安全并制定規(guī)范和標(biāo)準(zhǔn)的時(shí)候,大部分功能都已經(jīng)實(shí)現(xiàn)了,每個(gè)經(jīng)歷過(guò)大型項(xiàng)目的人都太熟悉這個(gè)場(chǎng)景了。這個(gè)時(shí)候想修復(fù)想通過(guò)重構(gòu)代碼去修復(fù)漏洞幾乎不可能,重構(gòu)大型軟件需要非常程的時(shí)間,這在開(kāi)發(fā)周期和人力成本都是不可承受的,帶病上線是非常正常的事情。這些帶著已知漏洞運(yùn)行的系統(tǒng)只能寄希望虛擬防火墻補(bǔ)丁甚至是運(yùn)氣來(lái)防止災(zāi)難性的安全事故發(fā)生。
4,代碼安全規(guī)范控制非常艱難
現(xiàn)代大型系統(tǒng)都已經(jīng)告別小作坊的方式,大型系統(tǒng)通常需要很多程序員一起通力合作才能完成,這些程序員的能力,資歷以及性格各方面都有非常大的區(qū)別,項(xiàng)目外包也是一大趨勢(shì),還有的大型公司的程序員工作在不同的地域,時(shí)區(qū),文化,語(yǔ)言,國(guó)家,這些都給代碼安全規(guī)范的統(tǒng)一完整實(shí)施帶來(lái)巨大的困難,代價(jià)非常的大。
5,應(yīng)用程序運(yùn)行環(huán)境也存在漏洞
即使企業(yè)有非常強(qiáng)大的整合能力,能確保自己編寫的程序和所有外部購(gòu)買的程序都沒(méi)有漏洞,但是應(yīng)用程序還是得部署到各種運(yùn)行環(huán)境里,比如 Java 程序需要 JVM,同時(shí)需要運(yùn)行在各種 Web 容器里(比如 Apache Tomcat, WebLogic, JBoss, WebSphere 等等),這些環(huán)境漏洞是企業(yè)沒(méi)有辦法控制的,只能將所用到環(huán)境跟新到最新的版本。其他的漏洞只能聽(tīng)天由命了。
6,每個(gè)人都可犯迷糊的時(shí)候:
理想來(lái)說(shuō)是每個(gè)人在寫每一行代碼的時(shí)候都能夠遵循安全編碼的最佳實(shí)踐,這個(gè)本身就是違背基本規(guī)律的,每個(gè)人都有犯迷糊的時(shí)候,同時(shí)項(xiàng)目的進(jìn)度,排期,以及各個(gè)部門的協(xié)調(diào)都會(huì)造成各種錯(cuò)誤的發(fā)生。
盡管我們?cè)谶@里詳細(xì)的描述了僅僅通過(guò)安全編碼是不能完全杜絕安全事故發(fā)生,但是安全編碼對(duì)任何公司都是非常重要的,畢竟安全無(wú)小事,公司應(yīng)該為開(kāi)發(fā)者和安全編碼制定政策和程序,提供安全意識(shí)培訓(xùn),并結(jié)合各種代碼掃描、分析工具,盡可能的減少代碼漏洞的數(shù)目,對(duì)能承受修復(fù)漏洞需要付出的成本的大公司來(lái)說(shuō)還是非常有意義的,它能有效的減少受到攻擊的可能性。
大型為了確保安全還可以采用滲透測(cè)試和分析公司 Gartner 提出來(lái)的一項(xiàng)新興技術(shù),稱運(yùn)行應(yīng)用程序自我保護(hù)功能 RASP 。這種方法實(shí)現(xiàn)在程序運(yùn)行時(shí)進(jìn)行安全檢測(cè)和保護(hù)的能力,對(duì)防范零日攻擊和 APT 有非常好的效果。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.specialneedsforspecialkids.com/yun/11155.html
摘要:目前主要的互聯(lián)網(wǎng)金融模式包括第三方支付在線理財(cái)網(wǎng)貸直銷銀行互聯(lián)網(wǎng)保險(xiǎn)及互聯(lián)網(wǎng)眾籌等。互聯(lián)網(wǎng)金融安全風(fēng)險(xiǎn)蔓延態(tài)勢(shì)及具體表現(xiàn)據(jù)相關(guān)機(jī)構(gòu)統(tǒng)計(jì)數(shù)據(jù)顯示,早在年,中國(guó)移動(dòng)互聯(lián)網(wǎng)金融呈現(xiàn)爆發(fā)式增長(zhǎng),全年交易額超過(guò)萬(wàn)億人民幣。 隨著中國(guó)互聯(lián)網(wǎng)金融市場(chǎng)的發(fā)展、政策試點(diǎn)擴(kuò)大范圍、央行開(kāi)放征信牌照、從互聯(lián)網(wǎng)巨頭到新興創(chuàng)業(yè)公司都開(kāi)始布局消費(fèi)金融。特別是隨著移動(dòng)互聯(lián)網(wǎng)的普及和推廣,移動(dòng)互聯(lián)網(wǎng)金融也逐漸成為互聯(lián)...
摘要:借助語(yǔ)法樹(shù),開(kāi)發(fā)者能夠更好地展現(xiàn)和修改源程序代碼,優(yōu)化開(kāi)發(fā)環(huán)節(jié),提高安全系數(shù),還能進(jìn)一步實(shí)現(xiàn)安卓預(yù)編譯。用語(yǔ)法樹(shù)來(lái)實(shí)現(xiàn)預(yù)編譯指令開(kāi)發(fā)者還能用語(yǔ)法樹(shù)來(lái)實(shí)現(xiàn)預(yù)編譯指令,常見(jiàn)的預(yù)編譯指令主要分為條件編譯宏定義文件包含三大類。 如何在保證安全性的前提下,提升開(kāi)發(fā)過(guò)程的效率,是每個(gè)開(kāi)發(fā)者都在不斷探索的問(wèn)題。借助語(yǔ)法樹(shù),開(kāi)發(fā)者能夠更好地展現(xiàn)和修改源程序代碼,優(yōu)化開(kāi)發(fā)環(huán)節(jié),提高安全系數(shù),還能進(jìn)一步實(shí)...
摘要:企業(yè)上云企業(yè)在擔(dān)心什么盤點(diǎn)企業(yè)必須面對(duì)的七大顧慮眾所周知,企業(yè)上云有諸多好處,單是從提高效率節(jié)約成本這兩個(gè)方面就能為企業(yè)節(jié)省不少開(kāi)支。究其原因,在于這些企業(yè)對(duì)上云存在諸多的顧慮。企業(yè)上云企業(yè)在擔(dān)心什么?盤點(diǎn)企業(yè)必須面對(duì)的七大顧慮眾所周知,企業(yè)上云有諸多好處,單是從提高效率、節(jié)約成本這兩個(gè)方面就能為企業(yè)節(jié)省不少開(kāi)支。但,企業(yè)真的如此看待企業(yè)上云嗎?如今大部分尚未上云的企業(yè),似乎還處于迷茫之中。...
閱讀 3897·2021-09-27 13:35
閱讀 1081·2021-09-24 09:48
閱讀 2910·2021-09-22 15:42
閱讀 2349·2021-09-22 15:28
閱讀 3154·2019-08-30 15:43
閱讀 2623·2019-08-30 13:52
閱讀 2979·2019-08-29 12:48
閱讀 1458·2019-08-26 13:55
